Par Stéphane ASTIER et Axelle POUJOL
Dans son rapport annuel publié en avril 2019, l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) réitère sa mise en garde contre la fraude en ligne ou piratage informatique, cyber-menace permanente touchant les entreprises, les organismes publics mais également les particuliers.
1. Piratage informatique : des méthodes diversifiées
En matière de piratage informatique, les hackers (pirates informatiques) ne cessent d’innover. Des attaques informatiques, destinées à déstabiliser les activités d’acteurs publics comme privés se répandent et prennent diverses formes. Elles conduisent à entamer la réputation et la confiance de leurs clients et usagers. Les particuliers ne sont pas épargnés par ces fraudes.
-
Entreprises et organismes : les fraudes les plus fréquentes
Les entreprises et organismes privés et publics sont régulièrement confrontés à des problèmes de cybersécurité. Ainsi, en 2018, 92% des entités interrogées déclaraient avoir fait l’objet d’une ou plusieurs attaques informatiques[1].
A titre d’exemples, le ransomware, logiciel malveillant qui permet de chiffrer des données et de subordonner le décryptage des données au paiement d’une rançon, ou encore le ransomhack, programme informatique permettant de s’introduire dans un système informatique pour voler des données et menacer de les publier contre le paiement d’une rançon, sont devenus légions.
-
Particuliers : les fraudes les plus fréquentes
Les particuliers peuvent faire l’objet de diverses escroqueries sur internet, qui se présentent par différents canaux (réseaux sociaux, mails de phishing[2], faux antivirus, etc.). Ces escroqueries peuvent avoir pour but de voler des informations bancaires, des identifiants d’utilisateurs, des données personnelles ou encore d’usurper l’identité d’une personne.
L’année 2019 a été particulièrement prolixe pour les pirates informatiques vis-à-vis des particuliers. Une campagne massive d’arnaques par mail a notamment fait l’objet d’alertes de la part des pouvoirs publics.
2. Comment se protéger contre le piratage informatique ?
Pour les entreprises et organismes, la cybersécurité et la protection des données personnelles sont devenues des enjeux majeurs. A ce titre, les entreprises et organismes sont dorénavant tenus de mettre en place un certain nombre de mesures techniques et organisationnelles afin d’être en conformité avec les nouvelles règlementations en la matière et d’assurer les objectifs de ces règlementations. Parmi ces mesures, on peut notamment citer :
- L’adoption d’une démarche de « Security by design» (« sécurité dès la conception ») ;
- La nomination d’un DPO (Data Protection Officer) ;
- La communication et sensibilisation des équipes et de l’ensemble de l’écosystème de partenaires à la cybersécurité et aux cyber-risques;
- La formalisation d’un référentiel sécurité;
- La réalisation d’audits de sécurité et tests réguliers d’intrusion ;
- La prise d’assurance contre le cyber-risque;
- …
Pour les particuliers, afin de faciliter la lutte contre les arnaques dont ils sont victimes et les sensibiliser, les pouvoirs publics informent régulièrement ces derniers sur les différentes arnaques et escroqueries possibles par internet et diffusent des recommandations.
A titre d’exemple, la recrudescence des signalements concernant l’arnaque par email précitée a conduit l’OCLTIC[3] à communiquer sur le phénomène et à donner des consignes si l’on en est victime :
- Ne jamais répondre ;
- Ne pas payer la rançon ;
- Changer régulièrement ses mots de passe.
En outre, une plateforme centrale, permettant de signaler tout contenu illicite et toute escroquerie, a été mise en place par le Ministère de l’intérieur[4].
Avec le cyber-espionnage, les attaques indirectes ou par rebond, le cryptojacking et les opérations de déstabilisation et d’influence, les fraudes en ligne font partie des cinq menaces majeures identifiées par l’ANSSI.
*
* *
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt ans en droit des nouvelles technologies et de la propriété intellectuelle. Le département cybersécurité accompagne de nombreux acteurs du secteur public comme du secteur privé dans le cadre de la mise en place de dispositifs dédiés à la gestion du risque cyber et à la protection des données. Pour en savoir plus, contactez-nous ici.
[1]https://www.mag-securs.com/news/id/45146/sondage-opinionway-cesin-92-des-entreprises-ont-ete-attaquees-une-ou-plusieurs-fois.aspx
[2] Le principe du phishing consiste à récupérer des données personnelles sur internet. Le moyen utilisé est l’usurpation d’identité, adaptée au support numérique. L’escroquerie repose le plus fréquemment sur la contrefaçon d’un site internet (celui d’une banque ou d’un marchand en ligne). L’adresse URL du lien comprise dans le mèl est également « masquée ou maquillée » afin de paraître authentique – cf. https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/Phishing-hameconnage-ou-filoutage
[3] Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication
[4] Plateforme PHAROS : https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action