La France est un des pays les plus touchés par les cyberattaques », lance Fabrice de Korodi, avocat et intervenant à la conférence intitulée « La protection des entreprises contre la cybercriminalité ». Sans pouvoir avancer de données officielles, M. de Korodi cite le cabinet d’audit « Price Waterhouse Coopers », qui réalise une étude mondiale chaque année.
En 2015, 6337 entreprises étaient prises en compte, et cette étude « confirme la vulnérabilité des entreprises françaises en matière de fraude ». En effet, 68% (57% en 2014, 46% en 2011 et 29% en 2009) des entreprises françaises ont été touchées contre 36% dans le monde.
Une analyse confirmée par Alice Cherif, chef de la section cybercriminalité du parquet de Paris, qui précise que « le patrimoine informationnel français est extrêmement convoité », puisqu’elle dénombre « plus de 600 millions d’euros de préjudice de faits commis ». En ce sens que les sociétés françaises détiennent beaucoup de savoir-faire et de données de métier. Ainsi, les cyberattaques peuvent être à visée purement crapuleuse (captation de données personnelles de particuliers ou de sociétés) ou se diriger contre de grands groupes français (afin d’obtenir la « recette » d’un moteur d’hélicoptère par exemple !..).
Le facteur humain, une variable à ne pas négliger
Concernant les entreprises, Fabrice de Korodi affirme qu’il est indispensable de considérer les données comme un « tout » afin de ne pas les sous-estimer. Le spécialiste distingue ainsi les entreprises conscientes du risque cybercriminel (telles que les agences de voyages qui ont pris très tôt le train en marche) de celles qui l’ignorent, ou n’ont pas conscience de la qualité des informations qu’elles génèrent.
Par exemple celles du smartphone, dont la sécurité n’est pas à négliger, puisque une intrusion permet de rapprocher des appels, ainsi que l’agenda, les SMS ou les mails. Des données qui permettent, lorsqu’elles sont croisées, d’obtenir des informations personnelles ou stratégiques sur l’entreprise.
Une autre particularité du cyberrisque est qu’il repose sur l’ensemble des utilisateurs, et pas seulement sur les personnes chargées de la sécurité informatique. Me De Korodi précise que les fraudes « dans la quasi-totalité des cas sont liées à des personnes ». L’individu est donc le point d’entrée des techniques d’ingénierie sociale, visant à accéder à des informations confidentielles ou certains actifs d’une entreprise, par la manipulation des personnes qui y ont accès (directement ou indirectement).
Fabrice de Korodi évoque des cas récents de « fraude au président », dans lesquels les fraudeurs étaient rentrés trois mois plus tôt dans le système, sans que personne ne s’en aperçoive. Les fraudeurs « écoutent, apprennent nos comportements et attendent le moment idéal pour lancer l’attaque » avertit l’intervenant, « il est aujourd’hui plus facile d’entrer dans un système en exploitant la négligence humaine plutôt que directement par le piratage informatique ! ».
Paradoxalement, les entreprise (selon l’étude précitée) sont pessimistes et prévoient une hausse de la cybercriminalité, alors que plus de la moitié d’entre elles n’ont pas de plan d’action 100% opérationnel.
Dès lors, comment gérer ce risque ? Gilles Brabant estime qu’il est nécessaire faire une balance entre l’équilibre financier direct (le chiffre d’affaire perdu si l’entreprise n’est pas protégée) et les équipes/ressources auxquelles on fera appel pour mettre en œuvre la gestion de ce risque.
S’appuyant sur son expérience au sein d’Ingenico, le directeur commercial conclut qu’il faut « aider le marchand à apprendre comment fonctionne le consommateur » afin d’allier une bonne politique de la fraude sans pour autant gêner la bonne marche du commerce.
source : http://www.affiches-parisiennes.com/la-france-cible-privilegiee-de-la-cybercriminalite-6454.html