in

Panorama de la Cybercriminalité : conférence thématique du CLUSIF

C’est le 10 janvier que le Club de la Sécurité de l’Information Français (CLUSIF) dévoilait son panorama annuel de la cybercriminalité. Véritable bilan en matière de cybercriminalité, la conférence « PanoCrim », revient sur les faits marquants de l’année 2018.

Une ouverture tout en espoir

Le CLUSIF est avant tout un groupe de travail constitué par des membres experts adhérents mais aussi par des invités experts. Pour ce 19èmepanorama, la première guest star du CLUSIF était Sophie Nerbonne, directrice de la conformité de la CNIL. Celle-ci est revenue sur la volonté de la CNIL de toujours accompagner plus des professionnels. La CNIL souhaite nouer de plus en plus de relation, créer un maillage pour assurer une diffusion plus large de ses principes.

Six mois après l’entrée en application du RGPD, l’appropriation de la loi européenne par les professionnels est tangible. Plus de 50 000 organismes ont désigné un DPO. Aujourd’hui il existe une tendance forte : vouloir être RGPD by design, c’est-à-dire intégrer dès la conception des produits les principes RGPD.

2018 : « annus horribilis »

Plusieurs thématiques ont été abordées lors de pitchs d’une dizaine de minutes chacun. Pour commencer les fuites à répétition sur les réseaux sociaux. Clairement l’année 2018 n’a pas été une année de tous repos pour les réseaux sociaux. Nous avons en tête le PDG de Facebook contraint de s’expliquer devant le Sénat américain. Les scandales ont jalonné 2018 dont le plus marquant est surement la révélation en mars de la fuite de données d’utilisateurs Facebook. En effet, ce qu’on appelle l’affaire Cambridge Analytica est le vol des données personnelles de plus de 87 millions d’utilisateurs Facebook via un test de personnalité. Ces informations ont ensuite été utilisées pour inviter les électeurs américains à voter pour Donald Trump via des messages personnalisés.

Mais les fuites de données ne touchent pas que le géant des réseaux sociaux. Le groupe Marriott par exemple s’est vu dérober plus de 500 millions de données clients. Le fabricant de bracelet connectés Under Armour a compromis environ 150 millions données personnelles d’utilisateurs de la plateforme MyFitnessPal. De la même manière, British Airways a perdu les données de plus de 185 000 passagers, la fuite de données la plus douloureuse en termes d’impact en 2019.

Des attaques cyber criminelles toujours plus violentes

Les cyber attaques visent deux pôles : les métiers et les banques.

D’un côté, les métiers deviennent les proies des cyber pirates. Transport maritime, transport aérien, secteur de la santé… autant de domaines sensibles. Par exemple un navire est un SI sur mer livré à lui-même avec des réseaux connectés en permanence à internet. Comme le montre l’exemple de l’IACS, le secteur maritime commence alors à se structurer et à prendre pour lui des recommandations de normalisations comme celle de l’ANSSI, en publiant douze recommandations sur la cyber sécurité en maritime.

Parallèlement le secteur aérien fonctionne en interconnections. Bien qu’étant un monde très concurrentiel, les acteurs se demandent : et si l’union faisait la force ? Alors les acteurs s’organisent et se structurent : ils créent le CCTA, un conseil pour la cyber sécurité du transport aérien pour travailler ensemble sur la mise à jour des différents risques, des moyens à mettre en place et des propositions de textes structurés.

De la même manière, le secteur hospitalier est une cible pour les cyber attaques. Chantage, extorsion, usurpation d’identité, déstabilisation ciblée, fraude à l’assurance, etc. Le cyber terrorisme va jusqu’à une atteinte directe de l’intégrité physique des patients (perte de chance).

D’un autre côté, les attaques classiques ne faiblissent pas envers les banques. Jackpotting, attaques par cheval de Troie, attaques par déni de service, s’accumulent. Gérome Billois de chez Wavestone a décrypté l’attaque destructrice de la Bank of Chile ou encore celle de la Cosmos Bank. Par ailleurs, le phygital est aussi tendance chez les cybercriminels comme le prouve l’attaque cyber-physique « Darkvihnya » qui a touché différentes banques d’Europe de l’Est.

Des menaces persistances … des réponses émergentes

Nous l’avons vu, tous les secteurs d’activité sont concernés par les cyberattaques et l’ioT n’échappe pas à la tendance. Du véhicule autonome aux enceintes connectées, nous assistons à une industrialisation des attaques. De ce fait la sécurité doit être intégrée dès la conception du produit. Pour se faire, la Commission Européenne a décidé de faire de la security by designune priorité avec une volonté de concurrence la Chine et les Etats-Unis. Jusqu’en 2027, 2,5 milliards d’euros sont prévus en investissements.

Depuis cinq ans, la géopolitique de la cybercriminalité est un sujet omniprésent au CLUSIF. Loïc Guézo rappelle la difficulté de l’attribution d’une attaque. Le sujet du cyber est désormais un sujet politique. Le Président de la République française Emmanuel Macron a bien lancé l’Appel de Paris. L’objectif de cet appel est d’enjoindre le monde à lutter contre la prolifération des moyens d’attaques afin d’éviter un Far-Ouest d’opération offensives.

Et aussi

Le PanoCrim a également évoqué la fin de l’authentification. Globalement le mot de passe est en fin de vie. Il existe une migration vers le Multi Factor Authentification (MFA). Franck Veysset nous a présenté les nouvelles solutions existantes et les risques de certaines bonnes idées.

Les intervenants attirent également notre attention sur les menaces qui planent sur le crypto écosystème. Plus d’un milliard de dollar ont été détournés en 2018 par des crypto miniers malveillants. Enfin, d’après les experts, les cybercriminels se mettraient à attaquer les API : les éléments informatiques qui permettent de faire des échanges. De la même manière, le cloud est un sujet à suivre en 2019.

Pour sa 19ème organisation, le PanoCrim du CLUSIF était riche en sujets abordés. De beaux témoignages de comment la sécurité de l’information varie en fonction de l’actualité.

Valentine
Valentine

Arrivée sur terre il y a quelques lustres, Valentine entre aujourd’hui dans le métier de la communication. C’est non sans intrépidité qu’elle a intégré la Sorbonne en philosophie après une classe préparatoire littéraire (A/L). Après un mémoire sur la place de l’éthique dans la société actuelle à partir d’Aristote, Valentine poursuit son cursus en éthique appliquée. Autrement dit elle s’intéresse aux actions des entreprises et des institutions publiques, proposant alors des solutions de conseil afin d’accompagner leurs prises de décision. Au coeur de l’économie numérique, les rouages de la communication autour de l’innovation la passionnent. C’est pour cela que Valentine a rejoint l’équipe de Tikibuzz, une agence de communication et de marketing, en 2018. Aujourd’hui, elle a le plaisir de s’aventurer sur le terrain de l’éditique et de la gestion de la communication client, afin de vous proposer chers lecteurs, des reportages et des témoignages pour votre média DOCaufutur.

Written by Valentine

Arrivée sur terre il y a quelques lustres, Valentine entre aujourd’hui dans le métier de la communication.
C’est non sans intrépidité qu’elle a intégré la Sorbonne en philosophie après une classe préparatoire littéraire (A/L). Après un mémoire sur la place de l’éthique dans la société actuelle à partir d’Aristote, Valentine poursuit son cursus en éthique appliquée.
Autrement dit elle s’intéresse aux actions des entreprises et des institutions publiques, proposant alors des solutions de conseil afin d’accompagner leurs prises de décision. Au coeur de l’économie numérique, les rouages de la communication autour de l’innovation la passionnent.
C’est pour cela que Valentine a rejoint l’équipe de Tikibuzz, une agence de communication et de marketing, en 2018.
Aujourd’hui, elle a le plaisir de s’aventurer sur le terrain de l’éditique et de la gestion de la communication client, afin de vous proposer chers lecteurs, des reportages et des témoignages pour votre média DOCaufutur.