Vigilance cyberattaques – Les bons réflexes pour faire face

Dans cette période, les Cyberattaques sont en augmentation significatives. Les particuliers (et notamment les plus vulnérables) sont ciblés, les escrocs redoublant d’ingéniosité et jouant évidemment sur les peurs pour proposer de faux placements pour avoir un revenu complémentaire, des masques, du gel hydroalcoolique, de l’ hydroxychloroquine, etc.

Les entreprises font aussi l’objet d’une très forte menace, en raison de l’utilisation massive du télétravail qui créer des failles de sécurité. Comment se prémunir ?

« Il faut que les entreprises se préparent à faire face à des cyberattaques » comme le rappelait, le vendredi 3 avril 2020, Jérôme Notin, directeur général de la plateforme gouvernementale de protection contre les cyberattaques, dans l’interview donnée pour le journal des Entreprises.

En effet, avec la pandémie de coronavirus, le nombre de cyberattaques des entreprises, des établissements de santé et des particuliers a drastiquement augmenté comme l’illustre dernièrement la cyberattaque du dimanche 22 mars contre les Hôpitaux de Paris, qui a été largement médiatisée et qui s’est matérialisée par l’envoi massif de fausses requêtes provoquant l’interruption de service des serveurs informatiques et bloquant l’accès externe à la messagerie, et aux applications de l’établissement de santé, notamment Skype.

Les cyberattaques se matérialisent par différentes techniques dont :

• l’hameçonnage (ou phishing en anglais) qui vise à encourager l’internaute à communiquer ses données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. Ex : faux message, SMS ou appel téléphonique de banque, de fournisseur d’énergie, etc.
• le vol de données stockées sur le réseau de l’entreprise ou ses hébergements externes (cloud) à des fins de chantage ou revente par exemple.
• le rançongiciel (ou ransomware) consistant à chiffrer et empêcher l’accès aux données de l’entreprise et à les libérer en échange du paiement d’une rançon.
• les faux ordres de virement.
• les escroqueries au placement.

En cette période de confinement, les entreprises plus que jamais font l’objet d’une très forte menace, en raison de l’utilisation généralisée du télétravail qui crée des failles de sécurité

En effet, le télétravail suppose que les collaborateurs :

• puissent faire face à une désorganisation avec moins de liens humains, ce qui rend les « escroqueries au Président » plus simples, les collaborateurs étant plus vulnérables.
• se connectent à distance aux messageries professionnelles et aux serveurs et banques de données de l’entreprise, notamment par recours aux réseaux privés virtuels ou aux protocoles d’administration à distance particulièrement vulnérables aux cyberattaques précitées.
• utilisent leurs ordinateurs personnels qui ne bénéficient généralement pas d’un niveau de protection suffisant en raison notamment de l’absence de proxy ou de mise à jour des antivirus.

La multiplication de cyberattaques présente des risques de préjudices potentiellement irrémédiables pour l’entreprise

• Préjudice économique d’une cyberattaque, direct (la rançon) et indirect (la rupture ou la désorganisation de l’activité).
• Violation de la confidentialité et du secret des affaires.
• Atteinte à l’image de marque et à la réputation de l’entreprise.
• Responsabilité vis-à-vis des clients de l’entreprise, notamment pour défaut de protection des données à caractère personnel au titre du RGPD.

La protection passe par une vigilance accrue et une sensibilisation des collaborateurs

Chaque opération et notamment bancaire (y compris lorsque l’ordre émane d’un supérieur hiérarchique) doit être réalisée avec une vigilance accrue et particulièrement dès lors qu’on vous adresse un nouveau RIB ou que le virement doit être effectué à l’étranger. Les autorités ont publié un certain nombres de préconisations pour permettre aux entreprises d’anticiper les risques.

D’un côté, la CNIL, dans son Guide de la sécurité des données personnelles, conseille aux entreprises plusieurs actions de prévention :

• L’authentification des utilisateurs:
  – En évitant de stocker les mots de passe dans un fichier en clair.
  – En évitant de les enregistrer dans son navigateur sans mot de passe maître.
• La protection du réseau informatique interne, à travers :
  – La limite des accès internet en bloquant les services non nécessaires (VoIP, pair à pair, etc.)
  – La mise en place d’un VPN pour l’accès à distance + authentification forte de l’utilisateur (carte à puce, boitier générateur de mots de passe à usage unique (OTP), etc.)
• La sécurisation de l’informatique mobile, passant par :
  – des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externe, CD-R, DVD-RW, etc.)
  – d’éviter l’utilisation comme outil de sauvegarde ou de synchronisation, les services cloud installés par défaut sur un appareil sans analyse approfondie de leurs CGU et des engagements de sécurité pris par les fournisseurs de ces services.

De leur côté, le gouvernement, à travers son site, et l’ANSSI, préconisent notamment aux entreprises:

• D’être attentif aux fausses commandes ou aux modifications de virements bancaires frauduleux.
• D’appliquer les mises à jour de sécurité sur les équipements connectés (serveurs, ordinateurs, téléphones…).
• D’utiliser des mots de passe uniques et solides et d’activer la double authentification chaque fois que possible.

En cas de cyberattaque, vous pouvez solliciter une aide extérieure technique et juridique

Notre cabinet qui associe cette double compétence a été amené à accompagner nombre de clients dans ce cadre pour :

• Entreprendre des démarches techniques et juridiques d’urgence (principalement auprès des intermédiaires) aux fins d’identification à des fins probatoires et de faire cesser les actes illicites.
• Conseiller l’entreprise sur ses failles au regard de la protection des données personnelles imposée par le RGPD et au regard de ses pratiques en matière de cybersécurité en vue de limiter les risques de responsabilité et de préconiser une notification à la CNIL lorsque cette dernière apparaît obligatoire.
• Déposer plainte en saisissant immédiatement les services compétents (BRDA) et le Parquet en charge de ce type d’enquête.

Pour rappel les cyberattaques susvisées sont constitutives de sanctions pénales, notamment aux titres :

• du délit d’accès et de maintien dans un système de traitement automatisé des données (STAD), de suppression ou de modification des données ou d’altération du fonctionnement du système, prévu à l’article 323-1 du Code pénal.
• du délit d’escroquerie (not. dans le cas du phishing et prévu à l’article 313-1 et suiv. du Code pénal).
• du délit d’extorsion (dans le cas de ransomware et prévu à l’article 312-1 du Code pénal).