Etes-vous prêt à vous faire hacker ?

Les sites de Rossel victime d’une cyberattaque, peu de temps après celle de TV5 Monde. L’actu de la cyber criminalité ne cesse de défrayer la chronique depuis déjà plusieurs mois. Plus discrètement, nombreux sont ceux qui s’emparent des données des entreprises – souvent mal armées contre ce mail du siècle – pour les faire chanter ou les revendre.

Dans son costume bleu et rouge, Spiderman ne craint personne. Et ne rencontre pas l’échec : dans les mois qui ont suivi la sortie au cinéma de son deuxième opus l’an passé, il a largement dépassé les 500 millions de dollars de rentrées. Il n’a pourtant pas pu aider son studio de cinéma, Sony Pictures, à faire face en fin d’année passée à une sérieuse tuile. Un piratage de grande ampleur a en effet permis à des hackers d’accéder au système informatique du studio et de copier l’ensemble des données de l’entreprise : échanges d’e-mails entre les dirigeants, fichiers clients, infos personnelles sur les employés, etc. L’affaire a non seulement bousculé la sortie du film The Interview mais a également eu des séquelles politiques, Barack Obama ayant rapidement accusé la Corée du Nord, dont le leader Kim-Jong Un est la cible du long-métrage.

De quoi se poser des questions sur la manière dont un géant (qui plus est actif dans le numérique) protège l’accès à ses systèmes et à ses nombreuses données. Et sur la sécurité informatique en général car les exemples se succèdent et deviennent de plus en plus spectaculaires.

L’année 2014 a, de fait, été marquée par une série de gros cas de piratage au niveau mondial. On se souvient du cas Target où les données bancaires de 110 millions de clients avaient été piratées ou encore du cas d’eBay avec les infos de 233 millions de comptes eBay subtilisées… Et même la Banque centrale européenne a dû admettre, l’été passé, avoir fait l’objet d’un chantage aux données.

Nos entreprises guère incitées à se protéger

La Belgique n’est pas franchement en reste. Elantis (une filiale de Belfius), Domino’s Pizza, Numericable, Buyway et diverses sociétés d’intérim ont été victimes ces deux dernières années du groupe de pirates Rex Mundi. Ce groupe de hackers a encore fait parler de lui début 2015 en divulguant sur le Web des données personnelles de clients de ces marques. Ce que fait Rex Mundi est très simple : obtenir des données sensibles et ensuite faire chanter les entreprises. L’an passé, Numericable avait refusé de payer 22.000 euros dans le cadre d’un tel chantage. Domino’s Pizza s’est vu réclamer chez nous une rançon de 30.000 euros.

Cela n’a rien de vraiment étonnant. “Avec Internet et avec l’ampleur prise par la tendance big data, les données valent de plus en plus d’argent, observe Marc Vael, président de l’Isaca, association internationale spécialisée dans la sécurité informatique. Elles nourrissent donc pas mal de convoitise, notamment de la part des pirates.” Or, de toute évidence, nombre d’entreprises, en Belgique comme ailleurs, restent mal protégées ou sous-estiment les risques réels et ne prennent pas les mesures adéquates.

“La loi sur la vie privée oblige les entreprises à mettre en place des mesures techniques et organisationnelles pour éviter tout risque par rapport aux données qu’elles collectent, souligne Tim Van Canneyt, of counsel au cabinet d’avocats Fieldfisher. Cette obligation, un peu floue, leur impose de prendre des mesures adéquates qui tiennent compte de la nature des données et… des frais engendrés.” Il n’est donc pas rare que certaines entreprises se passent de mesures de protections trop poussées et donc trop coûteuses.

Il faut dire que les amendes sont peu élevées en cas de souci de sécurité. “En droit belge, les entreprises risquent une amende pénale allant jusqu’à 600.000 euros, détaille Tim Van Canneyt. Mais la Belgique n’a pas une politique de sanction très forte à l’égard des violations de la loi sur la vie privée.” Cela pourrait changer avec la mise en place future d’une réglementation européenne en la matière et pourrait mener à des amende administratives, infligées chez nous par la Commission de la protection de la vie privée, allant jusqu’à 2 % du chiffre d’affaires (global) de l’entreprise. En attendant, beaucoup d’entreprises se passent encore d’une protection vraiment fiable même si, selon Marc Sel, director chez PwC et spécialiste de la sécurité, elles dépensent près de 10 % de leurs budgets IT dans la protection informatique.

A contrario, selon une étude publiée fin 2014 en France, la majorité des entreprises continue à adopter des comportements à risque et à mal sécuriser leurs systèmes et les agissements de leurs employés : venir avec un disque dur externe vérolé, brancher son téléphone au système informatique de la société, etc. Plus récemment, une enquête menée chez nous par les architectes en assurance ADD et CFO Magazine conclut que sept entreprises belges sur 10 ne sont pas préparées à faire face à une cyberattaque et 90 % d’entre elles n’ont aucune idée du coût qu’un piratage peut engendrer.

Selon la Cert (Cyber emergency team fédérale), de plus en plus de firmes belges subissent du spear phishing, c’est-à-dire que certains de leurs employés sont spécifiquement visés afin d’obtenir des informations professionnelles confidentielles. Selon Marc Sel, il n’est pas rare, en effet, que des hackers accèdent, par l’intermédiaire _ involontaire _ d’un employé, aux fichiers sensibles de la firme. “En quelques jours, des hackers peuvent accéder à l’ensemble des données stratégiques d’une société, avance l’expert. Par exemple en ciblant un travailleur et en l’incitant à cliquer sur un lien vers un virus qui ouvre une brèche. Ensuite, dès qu’ils ont accès à un serveur d’une société, ils peuvent attaquer la firme plus en profondeur et scanner les serveurs pour trouver des données sensibles.”

Une vraie filière du hacking

Selon une étude menée en 2014 en Belgique par PwC et VNU Exhibitions, quelque 23 % des entreprises belges interrogées ont déjà dû faire face à des brèches de sécurité. C’est beaucoup. Mais rien d’étonnant quand on sait à quel point la filière du piratage s’est totalement structurée, tant en amont qu’en aval d’une attaque. Aujourd’hui, n’importe qui peut mener une attaque. Il ne faut plus savoir coder ou connaître les technologies informatiques. Des codeurs créent des logiciels malveillants qu’ils vendent à des prix tout à fait abordables (quelques centaines d’euros). Ensuite, les hackers les achètent pour pénétrer dans les systèmes informatiques des entreprises. Selon le spécialiste russe de la sécurité Karspersky Lab, une action de “rançongiciel” (lire l’encadré “Chantage, blocage, etc. : les pratiques des hackers”) ne coûte, en moyenne, pas plus de 2.000 dollars au hacker. Mais elle peut rapporter gros : les hackers parviendraient à toucher plus de 20.000 dollars par piratage, soit 10 fois plus que leur mise de départ.

Et une fois les données (fichiers clients, etc.) capturées, les hackers peuvent se livrer à du chantage… ou faire basculer toutes ces informations vers un marché noir. Les voleurs de data peuvent, en effet, les revendre à des bandes organisées spécialisées dans le phishing ou la fraude à la carte bancaire, par exemple. Selon la pertinence des informations, une “ligne client” peut trouver preneur pour un montant compris entre 30 centimes et quelques euros. Sur des fichiers de clients de plusieurs centaines de milliers (voire de millions) d’utilisateurs, cela peut rapidement rapporter gros. Bien sûr, les données peuvent même être vendues plusieurs fois… et il arrive qu’elles finissent, en bout de course, dans les listings d’entreprises d’e-mailing qui ferment plus ou moins les yeux sur l’origine des données…

Un business très lucratif

Ce business visiblement lucratif pour les fraudeurs se révèle coûteux pour les entreprises. Selon une étude du Ponemon Insitute (Michigan), le coût moyen d’une intrusion informatique aux Etats-Unis s’élèverait à 5,85 millions de dollars. Plus près de chez nous, le coût moyen en France serait de 3,97 millions de dollars. Bien sûr, ce prix varie en fonction de la taille de l’attaque et de la nature des données compromises. Mais ces montants ne seraient pas totalement irréalistes en Belgique.

Pour Tim Van Canneyt de Fieldfisher, “les coûts regroupent les frais liés à l’appel de spécialistes pour identifier l’intrusion et la réparer, la communication liée au piratage, la réparation éventuelle des dommages, la surveillance des comptes en banque des clients si des données bancaires ont été piratées, etc.”. Sans oublier un dommage important, mais non financier : la réputation de la société. Une entreprise privée qui doit admettre un piratage et un accès aux données de sa clientèle s’expose, bien sûr, à une perte de confiance et… à un exode de clients, surtout dans un univers concurrentiel.

Aujourd’hui, alors que les entreprises cherchent à collecter toujours plus de données et à informatiser l’ensemble de leur process, “le risque ne cesse d’augmenter, observe Marc Sel de PwC. Quand on voit, par exemple, que l’essentiel de la production d’un véhicule est désormais automatisé et informatisé, on imagine volontiers que des hackers puissent un jour pirater une ligne de robots d’un constructeur automobile…” Et que dire des entreprises stratégiques pour l’économie d’un pays comme nos fournisseurs d’énergie, nos banques, etc. Car les choses prennent vite de l’ampleur et “montent vite à un niveau militaire quand on sait que les services de l’armée sont parfois appelés en renfort pour colmater des failles”, souligne Marc Sel de PwC.

Tout comme de plus en plus d’experts imaginent, à l’ère des objets connectés, que les hackers y trouveront un nouveau terrain de jeu. Demain, un pirate pourrait entrer dans votre frigo, votre thermostat ou votre montre. Certes, commander 120 packs de bière en s’emparant de votre frigo connecté n’aura pas un impact majeur. Mais qu’adviendra-t-il quand votre véhicule Google, connecté au Web, roulera tout seul ou quand vous porterez un stimulateur cardiaque relié à Internet (ils existent déjà) ?