Faire face ensemble : Plaidoyer pour le développement d’une approche collective face aux risques cyber

Claire Juiff, Alcyconie
Laurent Sarrat, Sis ID

Paysage de la cybercriminalité : une menace ramifiée, structurée et collective

La cybercriminalité aujourd’hui est bien loin de l’image d’Epinal d’un jeune adolescent dans un garage tentant d’obtenir quelques centaines d’euros en manipulant de naïfs interlocuteurs. Galvanisées par leurs profits, par les sponsorships étatiques et les nombreuses opportunités développées par la digitalisation rapide mais insuffisamment sécurisée des organisations, les structures cybercriminelles sont peu à peu devenues des multinationales du crime par leur taille et leur fonctionnement.

Si la cybercriminalité était mesurée en tant que pays, elle causerait des dommages totalisant 6 000 milliards de dollars US dans le monde à la fin de 2021 et serait donc la troisième économie mondiale après les États-Unis et la Chine. Ces organisations cybercriminelles bénéficient donc de moyens financiers et humains très importants qui leur permettent d’agir avec fluidité et rapidité, souvent en collaborant entre elles, pour viser des entreprises isolées.

Face à cette menace globale, l’organisation d’une réponse collective est une absolue nécessité.

Quand le manque de collectif affaiblit : la réponse des entreprises et institutions françaises face à la menace ransomware.

Les RaaS ou Ransomware as a service, tels que Sodinokibi (alias REvil), DoppelPaymer, Maze, Netwalker et Egregor, sont disponibles sur les marchés cybercriminels par un système d’affiliation et constituent la majorité des cas d’attaques par rançongiciels[1]. Les RaaS illustrent ce concept de menace commune à beaucoup d’entreprises, face à laquelle la réponse est trop rarement coordonnée. En effet, si elles ciblent parfois spécifiquement une entreprise, il s’agit très souvent d’attaques opportunistes dans une approche massive, à bas coût, en allant « au plus simple ». L’ANSSI stipule d’ailleurs dans son rapport que « les attaques par rançongiciel respectent une chaîne d’infection relativement similaire« .

Les RaaS sont la preuve concrète que l’absence de partage d’informations interentreprises sur la menace et la stratégie de réponse constituent une réelle opportunité pour les attaquants. Si chaque entreprise visée par une cyberattaque pouvait transmettre les éléments saillants et probants à prendre en compte dans la détection, la réponse à incident et les investigations, les entreprises ciblées par les mêmes typologies d’attaques gagneraient un temps précieux pour développer la réponse adéquate. En outre, la collaboration croissante entre opérateurs de différents rançongiciels constitue un élément alarmant qui doit appeler à une réponse collective rapide et efficace.

[1] Etat de la menace rançongiciel à l’encontre des entreprises et des institutions, CERT ANSSI, Février 2021

Le rôle des autorités dans la collecte et centralisation des informations sur les cybermenaces : une impulsion nécessaire mais une solution insuffisante face à l’ampleur du problème

Le partage d’informations que l’ANSSI déploie notamment via son CERT constitue des sources d’informations très utiles pour les entreprises françaises. Néanmoins, partager de manière quasi instantanée et efficace les informations sur la menace et sur les solutions à déployer est aujourd’hui mission impossible pour l’ANSSI, pour des raisons évidentes de dimensionnement humain et économique. Face à des groupes cybercriminels agissant massivement et rapidement, leur champ d’action reste donc limité et il est impossible à l’agence d’apporter son support à toutes les entreprises de toutes tailles visées par des cyberattaques sur l’ensemble du territoire.

Cela est d’autant plus vrai que ce partage d’informations est soumis à plusieurs prérequis non négligeables, notamment celui de disposer de l’information en question. Or, la remontée de l’information depuis les entreprises est loin d’être systématique. Dans un souci de préserver leur réputation, les entreprises sont parfois frileuses à indiquer les tentatives (échouées ou non) dont elles ont été victimes.

Il existe un réel enjeu au niveau des forces de l’ordre dans l’identification, l’exploitation, la communication des informations sur les cyberattaques, que policiers et gendarmes sont amenés à recueillir via les plaintes reçues par les entreprises. La sensibilisation des gendarmes et policiers amenés à prendre tous types de plaintes est encore trop insuffisante pour rendre exploitables celles qui concernent des fraudes et cyberattaques, particulièrement lorsqu’elles impliquent une dimension technique : description du mode opératoire incomplète ou erronée, absence de questionnements sur des éléments clefs, transposition aléatoire d’éléments techniques essentiels au schéma d’attaque. De surcroît, un effet de découragement face à un système judiciaire inadapté pour faire face aux enjeux de cybercriminalité n’impulse pas une dynamique très favorable. Ainsi, si des cellules spécialisées dans le numérique font un excellent travail, elles sont sous dimensionnées et ne peuvent pas aujourd’hui s’appuyer sur un réseau territorial suffisamment mature pour faire face à des cyber-risques sans frontière. La couverture du maillage territorial des entreprises françaises demeure incomplète et une diversité de complications administratives nuisent à une réponse étatique coordonnée et collective.

Face à ce constat, il est essentiel de ne pas uniquement compter sur des initiatives venant des autorités mais de les considérer comme un complément à la mise en place d’une réponse globale et structurée des acteurs privés. Cette réponse doit passer par le partage d’informations tout d’abord (état de la menace, stratégies de réponse…) ainsi que par la mise à disposition des compétences idoines. Pour cela, il s’agit de sortir d’une logique purement pécuniaire et concurrentielle en admettant que la fragilisation d’un maillon n’est en aucun cas une opportunité mais nuit à la cyber résilience nationale – et à terme, se répercute sur celle de l’ensemble des entreprises du territoire. Sortir d’un paradigme intellectuel nuisible est un mal nécessaire pour avancer dans la structuration d’une réponse collective face à une menace globale et à des acteurs qui privilégient l’efficacité dans leurs alliances.

Sis ID et l’approche communautaire dans la lutte contre la fraude : quelles leçons en tirer pour la cybersécurité ?

Selon le baromètre Euler Hermes – DFCG 2021, 2 entreprises sur 3 ont subi une tentative de fraude et 1 entreprise sur 5 a subi plus de 5 attaques cette même année. Les attaques sont récurrentes et les fraudeurs se professionnalisent, faisant évoluer techniques de fraude et technologies utilisées. Le constat est sans appel : les fraudeurs sont plus que jamais présents. Les années 2020 et 2021 ont connu une réorganisation complète du travail en entreprise, due à la crise sanitaire. Cette réorganisation n’a pas été sans douleur tandis qu’une forte agitation et méconnaissance de la situation a pu ouvrir de nouvelles failles dans lesquelles fraudeurs et cybercriminels ont pu s’engouffrer.

La fraude au président a fait son grand retour dans le paysage des fraudes au virement bancaire, signant la reprise des techniques profitant de l’isolation des collaborateurs. Il apparaît primordial de s’informer, de se former et de mettre en place des solutions pour se prémunir contre ces attaques.

Invisibles et imprévisibles, elles sont le fruit d’un travail minutieux et organisé de cybercriminels dédiant leur temps à mettre en place ces attaques. Si pour les cybercriminels, ces attaques sont un véritable « métier », il n’en est pas de même pour les entreprises. Elles doivent adapter leur mode de fonctionnement et la sécurité de leurs processus pour être toujours plus préparées aux tentatives et attaques.

Si les entreprises victimes sont nombreuses, elles n’en demeurent pas moins seules face à ce fléau. Les retombées d’une attaque n’étant pas simplement financières mais également de l’ordre d’une perte de confiance des collaborateurs, fournisseurs et de l’ensemble de l’entourage d’une entreprise, il est difficile pour celles-ci de divulguer l’attaque. Le fraudeur isole les entreprises, les empêchant de se protéger et surtout de se défendre.

Quelle réponse apporter pour faire face à ce fléau ? « Ensemble on est plus fort » est un adage qui a fait ses preuves pour des solutions collaboratives telles que Waze. Pour contrer des cyberattaques, le fonctionnement gagne à être similaire : seul face à la fraude, la réponse est moindre alors qu’ensemble, la bataille mérite d’être menée. La collaboration entre les entreprises est un moyen de partager les expériences et savoirs de chacune, pour qu’une fraude puisse être détectée et empêchée à temps.

Une solution comme Sis ID propose ce mode de fonctionnement pour la France et l’international. Première plateforme collaborative de lutte contre la fraude, elle réunit un collectif d’entreprises, d’institutions, de banques, d’assurances et d’éditeurs de logiciels dont la mutualisation des données et transactions enrichit une base de données collaborative. Chaque utilisateur peut contrôler la fiabilité d’un couple identifiant société/coordonnées bancaires et obtenir un résultat en temps réel. La menace de la fraude va au-delà des frontières, elle concerne tous les pays sans distinction. Notre solution donne une réponse globale à un problème qui ne connait pas la limite des frontières. Elle intègre d’autres solutions collaboratives telles que SEPAMail DIAMOND pour garantir la fiabilité des contrôles pour toutes les coordonnées bancaires, en France et à l’international.

New call-to-action

Comment appliquer une approche communautaire dans la lutte contre les cybermenaces ?

La concrétisation de plusieurs projets majeurs et l’émergence d’initiatives de fonctionnement collectif face aux cybermenaces est à noter, tant sur les volets préparation (sensibilisation, formation, partage des connaissances sur l’état de la menace) que réponse à incident. L’état de l’art des initiatives collectives et communautaires en cybersécurité laisse en effet présager des développements très positifs :

  • L’importance des sites communautaires tels que Reddit. En effet, le partage d’informations y est facile d’accès et très consulté par des milliers d’utilisateurs de la plateforme qui peuvent échanger des informations et des conseils augmentant le niveau de connaissances communes face aux cybermenaces.

  • La mise en place d’une filière française de la cybersécurité : À travers la stratégie Nationale Cyber, le gouvernement lance un appel à projet aux acteurs français de la cyber sur le domaine de la « Cyber Threat Intelligence » afin de créer un socle commun de connaissances sur le domaine. En soutenant ces projets, le gouvernement encourage le développement de nouvelles solutions ce qui aide la lutte face aux cybermenaces.

  • L’attention croissante portée aux ETI, TPE et PME, portes d’entrée privilégiée pour les attaquants du fait d’une inadéquation entre leurs moyens financiers et leurs besoins de sécurisation. Particulièrement visées par les cyberattaques, elles permettent aussi de viser les grandes entreprises avec lesquelles elles travaillent. Le Sénat a émis en Juin 2021 22 propositions pour renforcer la cybersécurité des ETI, PME et TPE[1]. Elles visent à et propose notamment l’ouverture d’un recueil anonymisé des plaintes afin d’encourager les entreprises à signaler les cyberattaques sans porter atteinte à leur réputation, ou encore un cyberscore des plateformes numériques, un référentiel de cybersécurité applicables aux TPE et PME et une offre packagée de solutions de cybersécurité accessibles et adaptées à ces publics.

  • La mise en place d’une coalition internationale, notamment via une réunion réunissant une trentaine de pays organisée début octobre 2021 par les États-Unis afin d’accélérer la coopération internationale sur ce sujet.

  • Les nombreux exemples de cyberattaques où les prestataires et partenaires mettent à disposition leurs équipes techniques et d’investigation pour venir en renfort à l’entreprise victime dans ses actions de réponse à incident, investigation et remédiation.

Faire face collectivement « en interne » : l’importance de dé-siloter les organisations

Les cybermenaces ne sont plus l’apanage des RSSI mais concernent tous les niveaux de l’organisation. L’humain est la première barrière face aux risques cyber et à la fraude. De plus, si être victime d’une cyberattaque implique pour l’entreprise une gestion de crise « technique », une cyberattaque constitue avant tout une crise métier : arrêt ou fort ralentissement des activités, problématiques de continuité des activités bancaires, obligations légales de notifications, risque accru de fraude, prise de mesures RH en urgence…

Une approche collective dans les organisations permet de faire face aux cybermenaces et aux fraudes et se concrétise à différents niveaux :

  • Communiquer pour mieux détecter et prévenir : faciliter la détection des signaux faibles par un partage d’information entre services.

  • Coordination de la réponse : former et préparer collectivement. Les exercices de crise cyber impliquent encore trop souvent un nombre restreint de fonctions voire parfois uniquement des responsables informatiques. Il est surtout primordial d’entraîner ceux qui ne côtoient pas d’ordinaire ces sujets et qui le jour J, se retrouvent propulsés dans la gestion d’une situation qui les dépasse.

En ce sens, il est essentiel de :

– déployer une sensibilisation aux risques cyber, bonnes pratiques d’hygiène informatique pour l’ensemble des fonctions de l’entreprise, en la déclinant également sous forme de tests pratiques (faux tests de phishing)

– intégrer davantage de fonctions de l’entreprise dans les procédures d’alerte et de notification

– former les différentes fonctions sur les cybermenaces spécifiques à leur activité et sur leur rôle en cas de cyber attaque.

– entraîner équipes IT, décideurs et fonctions impliquées dans une gestion de crise cyber pour les sensibiliser au sujet, à leur rôle et leur permettre d’identifier les ressources dont elles ont besoin.

Le partage interne de compétences et d’informations utiles est essentiel pour améliorer la détection de la menace et sa réponse ; l’entraînement par le biais d’exercices doit également permettre d’éprouver « in situ » la communication interservices et la prise en compte des problématiques des uns et des autres sur des scénarios concrets.

Aujourd’hui, se protéger contre les cybermenaces passe par la sensibilisation et la mise en place de solutions dédiées. Une entreprise ne peut se prémunir seule contre cette menace qui nécessite de croiser les approches. Alcyconie et Sis ID collaborent pour garantir à leurs clients et utilisateurs mutuels fiabilité et sécurité cyber.  Alcyconie est le cabinet indépendant pure-player en gestion et communication des crises cyber et numériques, certifié Qualiopi au titre de ses activités de formations. Notre connaissance fine des enjeux et de la menace cyber nous permet de préparer les organisations à gérer une situation complexe et de conseiller et épauler les équipes décisionnelles, techniques et opérationnelles en cas de problème avéré. Notre approche exclusive, cybercrisis management as-a-service, couvre l’ensemble des étapes de la gestion de crise : préparation aux crises, formations et simulations de crise cyber, veille et communication de crise cyber, astreinte 24/7, simulateur de crise unique PIA. Sis ID propose la première plateforme collaborative de sécurisation des paiements et de lutte contre la fraude. Ensemble, ils apportent des services complémentaires de sensibilisation, formation, entraînement et outillage pour faire face aux risques cyber et de fraude.

Par Claire Juiff et Laurent Sarrat

Contacter Alcyconie :

Claire JUIFF

Tél. +33 (0)6 13 03 51 45

[email protected]

Contacter Sis ID :

Tél. +33 4 65 84 95 59

[email protected]

Je choisis mon réseau et je partage !