Neuf entreprises sur dix sont victimes de vol de données, d'espionnage ou de sabotage. Pratiquement toutes les entreprises peuvent en être victimes, du petit conseiller fiscal au grand groupe international. Les rançons extorquées atteignent des niveaux toujours plus vertigineux et conduisent plus d'une entreprise à la faillite. Quels sont les acteurs et les structures qui se cachent derrière les cyberattaques et surtout, comment peut-on se protéger ? C'est ce que nous avons demandé à Andreas Persihl. Il est propriétaire de la société CAPERIUM GmbH, basée à Hambourg et spécialisée au niveau international dans l'analyse, la prévention et la défense contre les crises.
Le mot cybercriminalité est soudain sur toutes les lèvres. La situation est-elle vraiment si grave ?
Les risques liés à la cybercriminalité ont désormais atteint une dimension si massive en Allemagne, en Europe et dans le monde qu'il faut bien parler d'une menace sérieuse. Le danger d'une attaque est très réel, surtout pour les entreprises qui sont en mesure de payer des rançons élevées ou pour les infrastructures critiques. Souvent, les entreprises ne se rendent même pas compte qu'elles sont déjà victimes. Lorsqu'une attaque de ransomware paralyse l'entreprise et que les sauvegardes ont été chiffrées, il s'ensuit généralement une interruption de l'activité. Beaucoup n'y survivent pas.
Qu'entend-on exactement par cybercriminalité ?
Ce terme recouvre différentes formes de criminalité. Ce qui les unit, c'est l'intrusion dans des systèmes et structures informatiques étrangers ainsi que leur espionnage et leur manipulation. Les motifs sont également très variés, allant de l'intention d'enrichissement à des objectifs politiques ou sexuels, en passant par des besoins de pouvoir et de contrôle. Certains auteurs agissent par simple plaisir, d'autres par cupidité ou par vengeance. Parfois, ce sont des pirates informatiques dirigés par l'État qui sont derrière les attaques, parfois ce sont des actes commandités par d'autres criminels.
Les risques ne viennent pas toujours de l'extérieur via les systèmes informatiques, ce sont souvent des difficultés de processus internes ou les utilisateurs eux-mêmes qui donnent involontairement accès aux pirates. Les contraintes actuelles de la numérisation ont créé de nombreux flancs ouverts dans les entreprises, il peut s'agir par exemple de la machine à café du bureau ou de la photocopieuse commandée à distance. Mais les commandes à distance, les pièces jointes aux e-mails, les clés USB ou les logiciels ou prestataires de services achetés via des fournisseurs tiers sont également des points faibles qui facilitent la tâche des pirates.
La numérisation est, comme vous le dites, un facteur de risque important. Quels sont les autres ?
L'évolution politique de ces dernières années a fait de la Russie un véritable point chaud pour les cyberattaques internationales. Mais des pays comme la Corée du Nord ou l'Iran, ou d'autres États plutôt dirigés par des dictateurs, tentent également de former une jeune élite de cyber-experts étroitement liée aux services secrets militaires ou à d'autres fins abusives, pour ensuite attaquer des entreprises de manière ciblée avec les logiciels disponibles sur le marché. Nombre de ces États utilisent désormais également la cybercriminalité pour se procurer des devises.
Qui en profite au final ?
Il n'est pas possible de le dire exactement au cas par cas. En fait, la cybercriminalité et le piratage via un système de franchise fonctionnent comme si vous demandiez une licence pour un restaurant à McDonald's ou Vapiano, que vous exploitiez ce restaurant, puis que vous payiez une redevance de licence de nom ou d'autres frais et que vous fassiez vos preuves sur le marché.
Les cybercriminels qui agissent par exemple pour le compte de la Russie sont généralement bien protégés par les services secrets de ce pays et peuvent donc agir assez librement. En conséquence, on peut supposer que les ramifications de l'enrichissement en Russie s'étendent loin dans les systèmes politiques, militaires ou de renseignement et que chacun y reçoit d'une manière ou d'une autre sa part.
Cela signifie-t-il qu'au fond, c'est l'État russe qui attaque les entreprises allemandes ou européennes ?
Il faut faire une distinction. De facto, la Russie dispose d'un grand savoir-faire et du meilleur soutien étatique pour mener de telles attaques de manière ciblée, y compris dans le cadre d'activités militaires ou de renseignement. Cette sous-culture du piratage informatique s'est toutefois autonomisée et de très nombreuses personnes issues des élites politiques ou militaires veulent désormais en tirer profit. Selon nous, cela a complètement dérapé. L'État a créé des groupes qu'il est difficile d'arrêter.
Mais la Chine reste également une menace importante, car elle dispose d'un grand savoir-faire professionnel en matière de piratage d'entreprises. La Chine s'est certes fortement distanciée des attaques de ransomware et les pirates chinois sont certainement plus contrôlés dans leur pays que les pirates russes. Néanmoins, le danger des attaques chinoises ne doit pas être considéré comme moindre. Bien au contraire : elles sont généralement beaucoup plus subtiles. Le savoir-faire qui y est récupéré, par exemple dans les entreprises de haute technologie, est utilisé pour renforcer l'économie nationale. Cela signifie que les vagues de piratage chinoises ne sont en principe pas encore vraiment visibles pour notre industrie et que les dommages ne seront peut-être pas visibles avant cinq ou dix ans.
La lutte contre les gangs de pirates informatiques a-t-elle été couronnée de succès ?
Bien sûr qu'il y en a, certains grands groupes ont plus ou moins disparu du marché. Certains pirates informatiques russes de premier plan, très offensifs, ont été identifiés par les Américains et des récompenses ont été offertes pour déterminer leur lieu de séjour ou leur identité. On peut voir sur les pages Internet du FBI les tentatives de recherche correspondantes.
Mais le plus gros problème est le manque de recours juridique dans des pays comme la Russie. Vous devez vous imaginer que les malfaiteurs peuvent mener une vie confortable en toute sécurité et sans craindre les accords d'extradition grâce aux rançons extorquées - des montants allant parfois jusqu'à plusieurs milliards de dollars américains ou d'euros sont appelés ici, qui voyagent autour du globe via des comptes cryptographiques. Là, protégés par les services secrets, ils se construisent une nouvelle identité. Et ensuite, l'argent est réinjecté dans le circuit économique légal, les malfaiteurs achetant par exemple des bateaux, des maisons, des hélicoptères, des avions ou des bijoux sous une nouvelle identité.
Les entreprises allemandes sont-elles préparées à de telles menaces ?
S'ils y étaient préparés, des sommes aussi exorbitantes ne changeraient pas de mains actuellement. Les responsables d'entreprise devraient donc se faire conseiller d'urgence sur les points faibles et passer à une architecture de sécurité informatique qui soit pragmatique mais suffisamment professionnelle. Les sauvegardes non cryptées en font partie.
Si l'on part du principe que les malfaiteurs installent leurs logiciels malveillants trois à six mois à l'avance dans l'entreprise et se procurent des droits d'administrateur via différents comptes avant même que la victime ne s'aperçoive de l'attaque, il devient vite évident que même une PME ou une grande entreprise a besoin de sauvegardes qui lui permettent d'accéder aux données d'il y a trois, six, neuf ou douze mois. Ou qu'il faut tout vérifier avant d'importer des données pour s'assurer qu'elles ne contiennent pas de logiciels malveillants.
Comment enomyc peut-il soutenir de tels processus ?
enomyc intervient souvent lorsque les entreprises sont au pied du mur, quelle qu'en soit la raison. Dans de telles situations, il y a généralement des luttes pour les budgets, les coûts et les priorités. Lorsque les entreprises sont menacées d'insolvabilité à la suite d'une cyberattaque et qu'elles sont en outre confrontées, dans une situation de crise, à l'exigence de répondre à des demandes de rançon élevées et d'investir dans une infrastructure informatique entièrement nouvelle, elles sont en général rapidement dépassées du point de vue des coûts.
C'est là qu'enomyc a la vision nécessaire et peut aider à mettre l'accent sur les bonnes priorités dans cette transformation numérique.
Outre la crise aiguë, enomyc peut également analyser les risques des processus numériques et leur complexité et conseiller les entreprises en conséquence. Les entreprises déjà en difficulté et engagées dans des processus de restructuration doivent être doublement protégées, car les données dont on a besoin pour les prévisions de poursuite d'activité ou d'autres expertises doivent être accessibles à tout moment et protégées contre un éventuel cryptage. C'est justement pour les entreprises en crise qu'un conseil approprié est certainement un investissement rentable.
Une autre question pour laquelle je vois une contribution précieuse d'enomyc est le coaching de l'équipe de direction en cas de cyber-attaque. Il s'agit ici de qualités de management, de soft skills et de compétences très spécifiques dont les managers ont besoin dans de telles situations. enomyc peut aider à mettre en place des équipes de crise appropriées, à déterminer les responsabilités et à définir des processus afin de réduire au maximum la phase de chaos en cas d'urgence.
Merci beaucoup pour cet entretien passionnant, Monsieur Persihl.
CAPERIUM a été fondée en 2008 en tant que société de conseil spécialisée pour les entreprises, les autorités, les institutions et les clients privés, afin de gérer de manière professionnelle les besoins croissants dans les domaines de la conformité, de la sécurité, des enquêtes, de la criminalistique et de l'intégrité, ainsi que les défis qui y sont liés de nos jours. En tant que partenaire confidentiel et stratégique, CAPERIUM aide les entreprises et les familles exposées à faire face à toute forme d'attaque criminelle et propose un domaine d'activité confidentiel très spécifique pour les aider à négocier dans des situations de stress particulières telles que les attaques criminelles, l'acquisition ou la vente d'entreprises (fusions et acquisitions) et les conflits de toute nature.
