Faire face ensemble : plaidoyer pour le développement d’une approche collective face aux risques cyber

PAYSAGE DE LA CYBERCRIMINALITÉ : UNE MENACE RAMIFIÉE, STRUCTURÉE ET COLLECTIVE

Galvanisées par leurs profits, par les sponsorships étatiques et les nombreuses opportunités développées par la digitalisation rapide mais insuffisamment sécurisée des organisations, les structures cybercriminelles sont peu à peu devenues des multinationales du crime par leur taille et leur fonctionnement.

Regardons plus en détails le fonctionnement des organisations cybercriminelles internationales :

  • Le département des cyberattaquants est en charge d’identifier et exploiter les failles de sécurité, souvent humaines, des organisations. Ces failles vont servir de porte d’entrée pour lancer une attaque sur le SI ou subtiliser des informations.
  • Ce département travaille de pair avec un autre département, celui des fraudeurs, en charge d’exploiter ces failles dans un objectif souvent pécunier. Ces vecteurs d’intrusion et informations dérobées ont de multiples usages :
    • Usurpation de boîte mails pour commettre des fraudes au président ou au fournisseur ;
    • Effectuer des virements frauduleux via la prise en main des postes utilisateurs ou l’utilisation d’un malware bancaire ;
    • Utiliser les données récoltées pour crédibiliser son discours dans le cadre de fraudes par ingénierie sociale ;
    • Extorsion par la menace de rendre publique l’attaque et/ou de divulguer des informations dérobées.
  • Des moyens conséquents sont à la disposition de ces organisations cybercriminelles industrialisées : véritables calls centers dédiés aux fraudes par téléphone, outils de communication très performants, logiciels d’imitation de voix ou de spoofing téléphonique…
  • Les opérateurs de rançongiciels n’hésitent pas à avoir recours à l’écosystème cybercriminel, dont l’industrialisation leur permet de sous-traiter une grande partie des ressources et outils nécessaires à la réalisation de leurs opérations. En outre, il est parfois observé une collaboration entre opérateurs de différents rançongiciels[1].
  • Une fois la fraude commise, il s’agit de faire rapidement circuler l’argent de compte en compte, en profitant de législations internationales hétérogènes et du temps nécessaire pour les banques pour se coordonner et effectuer un rappel de fonds. Rentre alors en compte une myriade d’autres services : blanchiment d’argent, financement du terrorisme, prostitution, narcotrafic…
  • Pour que l’argent puisse circuler de compte en compte et que ceux-ci restent actifs peu de temps, les cybercriminels doivent s’assurer que des comptes soient ouverts régulièrement dans un grand nombre de pays : c’est la mission du service recrutement et fidélisation. Leur action est essentielle : recruter des “petites mains” pour ouvrir des comptes, parfois sous leur vraie identité et retirer l’argent dans les distributeurs automatiques de billet.
  • Pour ce recrutement, ils sont accompagnés d’un service marketing qui agit notamment sur les réseaux sociaux (Instagram, Snapchat…) et sur des forums pour recruter des mules. Ils parviennent ainsi à convaincre des particuliers, souvent démunis, par l’appât du gain et l’argent facile.

L’exposition aux risques est ainsi assurée par des recrues temporaires et interchangeables. Tandis que les têtes pensantes peuvent développer l’organisation, bénéficiant de revenus en croissance constante et d’une force de frappe rapide à l’international.

Si la cybercriminalité était mesurée en tant que pays, elle causerait des dommages totalisant 6 000 milliards de dollars US dans le monde à la fin de 2021 et serait donc la troisième économie mondiale après les États-Unis et la Chine. Ces organisations cybercriminelles bénéficient donc de moyens financiers et humains très importants qui leur permettent d’agir avec fluidité et rapidité, souvent en collaborant entre elles, pour viser des entreprises isolées.

Face à cette menace globale, l’organisation d’une réponse collective est une absolue nécessité.

[1] Etat de la menace rançongiciel à l’encontre des entreprises et des institutions, CERT ANSSI, Février 2021

QUAND LE MANQUE DE COLLECTIF AFFAIBLIT : LA RÉPONSE DES ENTREPRISES ET INSTITUTIONS FRANÇAISES FACE À LA MENACE RANSOMWARE

Les RaaS ou Ransomware as a service, tels que Sodinokibi (alias REvil), DoppelPaymer, Maze, Netwalker et Egregor, sont disponibles sur les marchés cybercriminels par un système d’affiliation et constituent la majorité des cas d’attaques par rançongiciels[1]. Les RaaS illustrent ce concept de menace commune à beaucoup d’entreprises, face à laquelle la réponse est trop rarement coordonnée. En effet, si elles ciblent parfois spécifiquement une entreprise, il s’agit très souvent d’attaques opportunistes dans une approche massive, à bas coût, en allant “au plus simple”. L’ANSSI stipule d’ailleurs dans son rapport que “les attaques par rançongiciel respectent une chaîne d’infection relativement similaire“.

Les RaaS sont la preuve concrète que l’absence de partage d’informations interentreprises sur la menace et la stratégie de réponse constituent une réelle opportunité pour les attaquants. Si chaque entreprise visée par une cyberattaque pouvait transmettre les éléments saillants et probants à prendre en compte dans la détection, la réponse à incident et les investigations, les entreprises ciblées par les mêmes typologies d’attaques gagneraient un temps précieux pour développer la réponse adéquate. En outre, la collaboration croissante entre opérateurs de différents rançongiciels constitue un élément alarmant qui doit appeler à une réponse collective rapide et efficace.

[1] Etat de la menace rançongiciel à l’encontre des entreprises et des institutions, CERT ANSSI, Février 2021

LE RÔLE DES AUTORITÉS DANS LA COLLECTE ET CENTRALISATION DES INFORMATIONS SUR LES CYBERMENACES : UNE IMPULSION NÉCESSAIRE MAIS UNE SOLUTION INSIFFISANTE À L’AMPLEUR DU PROBLÈME

Le partage d’informations que l’ANSSI déploie, notamment via son CERT, constitue des sources d’informations très utiles pour les entreprises françaises. Néanmoins, partager de manière quasi instantanée et efficace, les informations sur la menace et les solutions à déployer sont aujourd’hui mission impossible pour l’ANSSI, pour des raisons évidentes de dimensionnement humain et économique. Face à des groupes cybercriminels agissant massivement et rapidement, leur champ d’action reste donc limité. Il est impossible à l’agence d’apporter son support à toutes les entreprises de toutes tailles visées par des cyberattaques sur l’ensemble du territoire.

De plus, la remontée de l’information depuis les entreprises est loin d’être systématique. Dans un souci de préserver leur réputation, les entreprises sont parfois frileuses à indiquer les tentatives (échouées ou non) dont elles ont été victimes.

Il existe un réel enjeu au niveau des forces de l’ordre dans l’identification, l’exploitation et la communication des informations sur les cyberattaques, que policiers et gendarmes sont amenés à recueillir via les plaintes reçues par les entreprises. La sensibilisation des gendarmes et policiers amenés à prendre tous types de plaintes est encore trop insuffisante pour rendre exploitables celles qui concernent des fraudes et cyberattaques, particulièrement lorsqu’elles impliquent une dimension technique : description du mode opératoire incomplète ou erronée, absence de questionnements sur des éléments clefs, transposition aléatoire d’éléments techniques essentiels au schéma d’attaque. De surcroît, un effet de découragement face à un système judiciaire inadapté pour faire face aux enjeux de cybercriminalité n’impulse pas une dynamique très favorable. Ainsi, si des cellules spécialisées dans le numérique font un excellent travail. Cependant, elles sont sous dimensionnées et ne peuvent pas aujourd’hui s’appuyer sur un réseau territorial suffisamment mature pour faire face à des cyber-risques sans frontière. La couverture du maillage territorial des entreprises françaises demeure incomplète et une diversité de complications administratives nuisent à une réponse étatique coordonnée et collective. Face à ce constat, il est essentiel de ne pas uniquement compter sur des initiatives venant des autorités mais de les considérer comme un complément à la mise en place d’une réponse globale et structurée des acteurs privés. Cette réponse doit passer par le partage d’informations tout d’abord (état de la menace, stratégies de réponse…), ainsi que par la mise à disposition des compétences idoines.

SIS ID ET L’APPROCHE COMMUNAUTAIRE DANS LA LUTTE CONTRE LA FRAUDE : QUELLES LEÇONS EN TIRER POUR LA CYBERSÉCURITÉ ?

Quelle réponse apporter pour faire face à ce fléau ? « Ensemble on est plus fort » est un adage qui a fait ses preuves pour des solutions collaboratives telles que Waze. Pour contrer des cyberattaques, le fonctionnement gagne à être similaire : seul face à la fraude, la réponse est moindre alors qu’ensemble, la bataille mérite d’être menée. La collaboration entre les entreprises est un moyen de partager les expériences et savoirs de chacune, pour qu’une fraude puisse être détectée et empêchée à temps.

Une solution comme Sis ID propose ce mode de fonctionnement pour la France et l’international. Première plateforme collaborative de lutte contre la fraude, elle réunit un collectif d’entreprises, d’institutions, de banques, d’assurances et d’éditeurs de logiciels dont la mutualisation des données et transactions enrichit une base de données collaborative. Chaque utilisateur peut contrôler la fiabilité d’un couple identifiant société/coordonnées bancaires et obtenir un résultat en temps réel. La menace de la fraude va au-delà des frontières, elle concerne tous les pays sans distinction. Sis ID apporte une réponse globale à un problème qui ne connait pas la limite des frontières. Elle intègre d’autres solutions collaboratives telles que SEPAMail DIAMOND pour garantir la fiabilité des contrôles pour toutes les coordonnées bancaires, en France et à l’international.

COMMENT APPLIQUER UNE APPROCHE COMMUNAUTAIRE DANS LA LUTTE CONTRE LES CYBERMENACES ?

La concrétisation de plusieurs projets majeurs et l’émergence d’initiatives de fonctionnement collectif face aux cybermenaces est à noter, tant sur les volets préparation (sensibilisation, formation, partage des connaissances sur l’état de la menace) que réponse à incident. L’état de l’art des initiatives collectives et communautaires en cybersécurité laisse en effet présager des développements très positifs :

  • La mise en place d’une filière française de la cybersécurité : À travers la stratégie Nationale Cyber, le gouvernement lance un appel à projet aux acteurs français de la cyber sur le domaine de la « Cyber Threat Intelligence » afin de créer un socle commun de connaissances sur le domaine. En soutenant ces projets, le gouvernement encourage le développement de nouvelles solutions ce qui aide la lutte face aux cybermenaces.
  • L’alliance entre plusieurs prestataires de lutte contre les cyber-risques. Nous pouvons citer à ce titre le développement d’un projet de plateforme XDR ouverte et souveraine annoncé en septembre dernier par HarfangLab, Sekoia et Pradeo. Leur alliance vise à fournir une offre globale de détection des menaces et de réponse qui agrège leurs solutions respectives : une solution de détection des menaces et réponse (EDR) pour HarfangLab qui se concentre sur la protection des ordinateurs et des serveurs, la sécurisation des applications mobiles pour Pradeo et la plateforme SIEM de renseignement et de contexte pour SEKOIA.
  • La création d’un ambitieux Cybercampus dans le quartier de La Défense est également le signe d’une volonté des acteurs publics et privés d’unir leurs compétences pour faire face à la menace.
  • L’attention croissante portée aux ETI, TPE et PME, portes d’entrée privilégiées pour les attaquants, du fait d’une inadéquation entre leurs moyens financiers et leurs besoins de sécurisation. Particulièrement visées par les cyberattaques, elles permettent aussi de viser les grandes entreprises avec lesquelles elles travaillent. Le Sénat a émis, en Juin 2021, 22 propositions pour renforcer la cybersécurité des ETI, PME et TPE[1]. Elles visent à proposer notamment l’ouverture d’un recueil anonymisé des plaintes afin d’encourager les entreprises à signaler les cyberattaques sans porter atteinte à leur réputation, ou encore un cyberscore des plateformes numériques, un référentiel de cybersécurité applicables aux TPE et PME et une offre packagée de solutions de cybersécurité accessibles et adaptées à ces publics.
  • La mise en place d’une coalition internationale, notamment via une réunion réunissant une trentaine de pays organisée début octobre 2021 par les États-Unis afin d’accélérer la coopération internationale sur ce sujet.
  • Les nombreux exemples de cyberattaques où les prestataires et partenaires mettent à disposition leurs équipes techniques et d’investigation pour venir en renfort à l’entreprise victime dans ses actions de réponse à incident, investigation et remédiation.

[1] La cybersécurité des entreprises – Prévenir et guérir : quels remèdes contre les cyber virus ? Sénat Délégation aux entreprises, Juin 2021

FAIRE FACE COLLECTIVEMENT “EN INTERN” : L’IMPORTANCE DE DE-SILOTER LES ORGANISATIONS

Les cybermenaces ne sont plus l’apanage des RSSI mais concernent tous les niveaux de l’organisation. L’humain est la première barrière face aux risques cyber et à la fraude. De plus, si être victime d’une cyberattaque implique pour l’entreprise une gestion de crise “technique”, une cyberattaque constitue avant tout une crise métier : arrêt ou fort ralentissement des activités, problématiques de continuité des activités bancaires, obligations légales de notifications, risque accru de fraude, prise de mesures RH en urgence…

En ce sens, il est essentiel de :

  • déployer une sensibilisation aux risques cyber, bonnes pratiques d’hygiène informatique pour l’ensemble des fonctions de l’entreprise, en la déclinant également sous forme de tests pratiques (faux tests de phishing)
  • intégrer davantage de fonctions de l’entreprise dans les procédures d’alerte et de notification
  • former les différentes fonctions sur les cybermenaces spécifiques à leur activité et sur leur rôle en cas de cyber attaque.
  • entraîner équipes IT, décideurs et fonctions impliquées dans une gestion de crise d’origine cyber pour les sensibiliser au sujet, à leur rôle et leur permettre d’identifier les ressources dont elles ont besoin.

Le partage interne de compétences et d’informations utiles est essentiel pour améliorer la détection de la menace et sa réponse. L’entraînement par le biais d’exercices doit également permettre d’éprouver “in situ” la communication interservices et la prise en compte des problématiques des uns et des autres sur des scénarios concrets.

SIS ID ET ALCYCONIE S’ALLIENT POUR PROPOSER LEURS EXPERTISES FACE AUX RISQUES CYBER

Aujourd’hui, se protéger contre les cybermenaces passe par la sensibilisation et la mise en place de solutions dédiées. Une entreprise ne peut se prémunir seule contre cette menace qui nécessite de croiser les approches. Alcyconie et Sis ID collaborent pour garantir à leurs clients et utilisateurs mutuels fiabilité et sécurité cyber.  

Alcyconie est une société indépendante pure-player en gestion et communication des crises cyber et numériques, certifiée Qualiopi au titre de ses activités de formations. Notre connaissance fine des enjeux et de la menace cyber nous permet de préparer les organisations à gérer une situation complexe, de conseiller et d’épauler les équipes décisionnelles, techniques et opérationnelles en cas de problème avéré. Notre approche exclusive, cybercrisis management as-a-service, couvre l’ensemble des étapes de la gestion de crise : préparation aux crises, formations et simulations de crise cyber, veille et communication de crise cyber, astreinte 24/7, simulateur de crise unique PIA®.

Sis ID propose la première plateforme collaborative de sécurisation des paiements et de lutte contre la fraude. Ensemble, ils apportent des services complémentaires de sensibilisation, formation, entraînement et outillage pour faire face aux risques cyber et de fraude.

Par Claire Juiff et Laurent Sarrat

Pour en savoir plus sur nos expertises ou sur notre partenariat avec Sis ID, contactez-nous à contact@alcyconie.com

Partagez cet article :
Facebook
Twitter
LinkedIn
Reddit
WhatsApp
Email