Entre 2016 et 2017, le nombre de comptes-rendus de police judiciaire (CRPJ) pour une plainte liée à une cybermenace a augmenté de 32%. Soit 63 500 plaintes en 2017. « Il est constaté une augmentation du nombre de CRPJ par mois sur l’année 2017 avec une moyenne de 5297 CRPJ cyber par mois contre 4007 CRPJ par mois en 2016 » indique le ministère de l'Intérieur, dans son rapport relatif à l'état de la menace liée au numérique en 2018. L'institution l'explique par une croissance de l'activité cybercriminelle mais aussi par une première prise de conscience citoyenne de signalement de ce genre d'attaques.

Surtout que d'après le baromètre de la cybersécurité des entreprises du Club des experts de la sécurité de l’information et du numérique (Cesin) de janvier dernier - mené auprès de 142 entreprises membres – 79% des entreprises ont constaté au moins une cyber-attaque en 2017 et 28% en ont connu plus de 10. Plus inquiétant, le ministère de l'Intérieur cite une étude de Deloitte de janvier révélant que « 63 % des incidents de sécurité proviennent d’un collaborateur actif au sein des effectifs ». Le facteur humain reste encore et toujours le maillon faible dans la sécurité numérique d'une entreprise.

Le RGPD fait prendre conscience des enjeux de sécurité

D'après le ministère, qui se fonde sur les données du Cesin, l'arrivée du RGPD a eu tendance à faire prendre conscience des enjeux de la cybersécurité. Avec la perspective d'amendes « pouvant aller jusqu’à 4 % du chiffre d’affaires mondial consolidé, une incitation forte repose maintenant sur l’écosystème des services et produits de cybersécurité », souligne le rapport. Car jusqu'à maintenant, cet enjeu représentait moins de 5% du budget IT dans deux tiers des entreprises. Mais le Cesin estimait déjà, en début d'année, que la mise en conformité au RGPD, entré en application fin mai, avait déjà permis de refonder la gouvernance de la cybersécurité dans une entreprise sur deux.

D'après le Cesin, les demandes de rançons touchent les entreprises dans 73% des cas. Suivent les attaques virales générales (38%) et les fraudes externes (30%). (Crédit : Ministère de l'Intérieur)

Comme indiqué sur le graphique ci-dessus, ce sont les attaques via les logiciels de demande de rançon qui sont le plus utilisées par les pirates pour s'en prendre aux entreprises. Les ransomwares sont en pleine explosion d'après le rapport. Depuis 2015, le nombre de familles de rançongiciels a ainsi grimpé de 752% ! Mais paradoxalement, malgré la prolifération de ce genre d'attaques, les autorités ne relèvent que peu de plaintes. Quand la gendarmerie en a recueilli 218 l'année dernière, la Préfecture de police de Paris a ouvert 154 enquêtes.

Et s'ils étaient utilisés au départ par de grands groupes criminels, les ransomwares se démocratisent d'après les services de la place Beauvau. Ils sont désormais accessibles pour quelques centaines d'euros sur les darknets et le rapport prédit qu'ils pourraient même devenir des outils utilisés par des organisations militantes ou politiques. Locky, un de ces logiciels les plus connus et un des plus utilisés en France, a généré 15 millions d'euros de chiffre d'affaires depuis 2016.

Jackpotting, phreaking, spoofing et consors

Mais les ransomwares ne sont pas les seules techniques de hacking utilisées par les pirates. Des méthodes récentes, comme le jackpotting ont fait leur apparition. Cette forme d'attaque s'en prend aux distributeurs automatiques de billets (DAB). On utilise un ordinateur portable connecté à une prise USB, soit pour accéder aux données du calculateur d’un DAB fonctionnant sous Windows, soit pour injecter un « malware », dans le but de vider totalement ou partiellement ce dernier. S'il est apparu en 2012 aux Etats-Unis, il n'est constaté en France que depuis fin 2016. Une vingtaine de compromissions ont ainsi été relevées depuis en région parisienne, lyonnaise ainsi que dans l'est, pour un préjudice total estimé à 420 000 €.

Les escroqueries représentent trois quarts des infractions cyber, suivis par l'usurpation d'identité dans 5,7% des cas. (Crédit : Ministère de l'Intérieur)

Le piratage des lignes téléphoniques prend aussi de l'ampleur. Selon Europol, la fraude à la téléphonie serait passée de moins de deux milliards d'euros en 2013 à 11 milliards d'euros en 2017. L'année dernière, les autorités ont recensé principalement deux types d'attaques : le phreaking et le spoofing de lignes téléphoniques. Dans le premier cas, ce sont des escroqueries aux numéros surtaxés, consistant à prendre le contrôle d’un autocommutateur pour effectuer des appels vers des numéros payants gérés par l’auteur. Les grands comptes, entreprises ou institutions publiques, sont généralement visés afin de noyer dans la masse les appels frauduleux passés par l’auteur et ainsi retarder la détection de l’escroquerie. Le montant du préjudice total s'élevait à 570 000 euros en 2017, en baisse comparé aux 800 000 euros l'année précédente.

Pour le spoofing, les victimes pensent s’adresser à leur banque, leur fournisseur d’énergie ou encore leur assurance, mais se retrouvent en réalité en conversation avec l’escroc qui a usurpé la ligne téléphonique du professionnel pour obtenir des données personnelles ou demander un versement sur un compte à son nom. D'autres techniques, comme le SIM swapping, le swatting, etc. sont listées par le ministère de l'Intérieur comme des techniques en progression.

La France est le 2e pays le plus touché par le vol de données au monde

Parallèlement, les attaques par déni de services (DDoS) sont en recul (25% des attaques subies par les entreprises), tout comme les altérations de sites Internet par défigurations (16%). Les techniques d'ingénierie sociale ont, elles, toujours le vent en poupe. Quinze ans après son apparition, le typosquatting est toujours autant utilisé. Dernier en date, une campagne de phishing lancée en février dernier, utilisée une URL similaire au site d'Air France mais avec un « ạ » à la place du « a » de France.

L'attaque par phishing de type homoglyphie IDN promettant des billets Air France gratuits utilisait un caractère spécial, un a avec point souscrit très difficilement détectable. (crédit : D.R.)

Et ce genre de campagne serait toujours très prégnant en France. Un internaute sur deux continuerait de répondre aux mails de phishing, selon un rapport de Symantec en 2017. La société met en avant que la France est le deuxième pays le plus touché par le vol de données au monde, entre les Etats-Unis (1er) et la Russie (3ème). Entre octobre 2015 et octobre 2016, près de 85,3 millions d’éléments d’identité (des simples noms et prénoms à l’adresse en passant par les mots de passe) ont été volés en France. La négligence des internautes en matière de cybersécurité explique la majorité des piratages.

Le détournement de données coûte 3,62 M$ en moyenne

Le coût de la cybercriminalité est assez difficile à évaluer précisément et le ministère de l'Intérieur donne plusieurs chiffres, issus de sources différentes. Une étude Ponemon Institute pour IBM l'année dernière indique que le coût moyen d’un détournement de données serait de l’ordre de 3,62 millions de dollars.

Un sondage NTT Com Security effectué auprès de 1000 entreprises fin 2016 évoquait un coût moyen de 330 000 euros pour une entreprise de 1 000 salariés ou moins. Pour une violation de sécurité sur une entreprise de plus de 5 000 salariés, le coût moyen passe à 1,3 million d'euros. L'Observatoire de la sécurité des moyens de paiement (OSMP) évalue la fraude liée aux cartes de paiement à 517,5 millions d'euros en 2016. La gendarmerie nationale, de son côté, estimait le préjudice total des dossiers se rapportant à la cybercriminalité à 363 millions d'euros en 2017 (+26% par rapport à 2016).

Le secteur de la cybersécurité en hausse moyenne de 12,4%

Dans ce contexte, le marché de la cybersécurité est en croissance continue. Son chiffre d'affaires a atteint 4,3 millions d'euros en 2017 d'après l'observatoire de la filière de la confiance numérique, tandis que celui la sécurité numérique qui « englobe l’ensemble des solutions, matériels et installations dédiés à instaurer la confiance par la mise en œuvre de systèmes numériques (biométrie, gestion des accès, détection par exemple) » s'établit à 4,5 M€, indique le rapport. Soit une croissance annuelle moyenne du secteur de 12,4%. Les réglementations nouvelles ou les domaines qui explosent (tel que l'IoT) participent au développement important de ce marché.