La diversification de la cybercriminalité est en marche

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités La diversification de la cybercriminalité est en marche

Publié le 03 juillet 2016 à 12:10 par Jérôme G.

Lire sur mobile

Une tribune de Maître Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM.

Les faits divers liés à la cybercriminalité sont toujours plus nombreux et variés. En atteste le vol des données personnelles de 112 000 policiers récemment commis par un employé d'une société sous-traitante de la Mutuelle générale de la police.

Ces données étaient stockées sur un cloud à l'accès protégé par un simple mot de passe, permettant à l'employé en question d'accéder et de s'approprier sans grandes difficultés des informations confidentielles non seulement sur les policiers mais aussi sur leurs proches.

Cette affaire met en lumière que la menace cybercriminelle ne vient pas toujours de l'extérieur mais peut également être interne aux organismes et entreprises. Le contrôle des risques liés à la perte d'informations se doit alors d'évoluer pour s'adapter à la typologie des différentes cybermenaces.

Une expertise alarmante

Alors que l'affaire du vol de données des policiers était révélée à la presse, deux experts ont affirmé lundi 27 juin que les cyberattaques visent dans 99 % des cas à voler des données, mais que de plus en plus d'intrusions dans les réseaux informatiques des entreprises font craindre des tentatives de sabotage industriel ou des menaces terroristes.

Le directeur de l'Agence nationale de la sécurité des systèmes d'information (Anssi), Guillaume Poupard a qualifié ce phénomène d'inquiétant. C'est en effet le moins que l'on puisse dire, car si un transfert anormal ou non autorisé de données est en théorie identifiable, l'absence de captation d'informations rend le contrôle bien plus ardu.

Comme l'Anssi le craint, il se peut que les terroristes ayant des moyens financiers sans compétences techniques en informatique fassent appel à des « mercenaires numériques » pour s'introduire dans des réseaux en vue d'exfiltrer de l'information au moment opportun.

La protection des opérateurs d'importance vitale, une priorité affirmée

Les deux experts ont présenté les trois premiers arrêtés relatifs à la sécurité des systèmes d'information des opérateurs d'importance vitale (OIV) concernant les produits de santé, la gestion de l'eau et l'alimentation. D'autres arrêtés feront suite pour couvrir l'ensemble des 12 secteurs reconnus d'importance vitale, soit 249 opérateurs publics et privés identifiés comme tels.

Ainsi, dans le prolongement de la loi de programmation militaire de 2013, ce nouveau cadre juridique imposera aux OIV de se prémunir contre les risques de cyberattaque. Ils auront notamment une obligation de notifier les incidents aux autorités compétentes, devront respecter des consignes préétablies de bonnes pratique et seront soumis régulièrement à des contrôles d'application.

Comme l'a souligné M. Poupard, « la France est avec l'Allemagne un pays pionnier dans la protection des OIV », mais l'Europe n'entend pas rester simple spectatrice de ces efforts.

En février 2013, la Commission européenne a en effet proposé aux États membres et au Parlement d'adopter une directive « Network Security and Information » (NIS) qui a été approuvée en décembre 2015 et adoptée en première lecture par le Conseil de l'Europe en mai 2016. Celle-ci prévoit des mesures visant à assurer un haut niveau de confiance dans les systèmes de réseaux et d'informations de l'Union.

La stratégie de cybersécurité imposée aux États de l'UE d'ici 2018

Cette directive NIS est en fait le support nécessaire du règlement beaucoup plus général relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Le but est à long terme d'obtenir un espace numérique sécurisé et performant au sein duquel les États membres coopèrent de manière harmonieuse pour lutter contre la cybercriminalité.

Au niveau national, l'Union prévoit que tous les États membres devront créer une « computer emergency response team » (CERT), c'est-à-dire un centre d'alerte et de réaction aux attaques informatiques qui aurait pour mission de surveiller, analyser, avertir des risques et intervenir a posteriori.

Au niveau communautaire, la directive NIS prévoit la mise en place d'un réseau de communication interétatique afin de favoriser la circulation des alertes, la cybercriminalité n'ayant pas de frontières. La coopération paneuropéenne se fera sur la base du volontariat et du partage d'information des différents acteurs. Face à la cybermenace, notamment de nature terroriste, la solidarité entre États apparaît en effet indispensable.