Toutes les quatorze secondes. En 2017, c'est à cette fréquence que l'on pensait que les entreprises . En octobre 2019, la réalité s'avérait bien pire. C'est en effet toutes les dix secondes que des cybercriminels tentent .
Si 2019 a bien prouvé quelque chose, c'est que les hackers sont de plus en plus sournois tant au niveau de leurs méthodes que de leurs cibles. En 2019, les et devraient atteindre en 2024.
Ce montant pourrait cependant être revu à la hausse aux vues des manières de procéder des cybercriminels qui évoluent régulièrement... La menace cyber ne dort jamais et est source de véritable casse-tête pour les entreprises qui tentent de garder une longueur d'avance sur les hackers tant il devient difficile de supprimer certaines vulnérabilités tandis que d'autres apparaissent.
Pourtant, les techniques utilisées par les hackers pour pénétrer dans les systèmes sont souvent assez banales. Ainsi, les hameçonnages par e-mail ou sur les réseaux sociaux restent les attaques les plus efficaces. En effet, si l'on ne tient compte que de l'année dernière (2018-2019), les attaques par hameçonnage représentent 90 % des fuites de données et les tentatives de hameçonnage ont .
Une criminalité croissante. En 2018, les rapports sur les identifiants compromis ont augmenté de 70 % en 2017, .
Toutefois, connaître le modus operandi des hackers (et leurs cibles potentielles) peut vous permettre de mettre en place des mesures préventives. Focus sur les trois grandes tendances de 2019 en matière de cybercriminalité :
1. Ransomware
2019 a vu le ransomware (ou la crypto-rançon) gagner en ampleur et en fréquence, faisant de ce type de malware la méthode de prédilection de nombreux cybercriminels. Les attaques par ransomware enregistrent une croissance . La raison ? Elles sont plus faciles à déployer et les gains nets sont supérieurs. Les hackers accèdent simplement au système, bloquent les utilisateurs et demandent une rançon pour restaurer les systèmes et les fichiers.
Autre source d’inquiétude, cette méthode ne cesse d’évoluer. Les hackers, qui cherchent des gains à la mesure de leurs efforts, ciblent désormais les entreprises hébergeant les données ou l'accès en ligne de plusieurs organisations. Les fournisseurs auxquels ont recours de nombreuses entreprises constituent une cible de choix, car le piratage d'un seul système permettrait d'accéder à des centaines, voire des milliers de systèmes clients, tels qu'un organisme de paiement.
De toute évidence, la croissance exponentielle du ransomware, méthode privilégiée des cybercriminels, devrait se poursuivre. Les principaux motifs de succès du ransomware à ce jour sont la négligence de certains salariés (51 %), une protection antivirus inefficace (45 %) et .
Heureusement, la plupart des entreprises peuvent mettre en place des solutions efficaces. Les salariés peuvent être formés pour détecter et gérer des e-mails ou des appels téléphoniques frauduleux où il leur est demandé de fournir des informations propriétaires. Cela permettrait de réduire significativement le risque d'erreur de leur part. Un processus clair de signalement de toute activité suspecte pourrait être mis en place dans le cadre de la stratégie générale de mitigation des risques de l'entreprise.
De même, les départements informatiques devraient régulièrement mettre à jour tous les logiciels et les applications de sécurité, et veiller à ce que les programmes antivirus en place soient capables de gérer les nouvelles menaces à mesure qu'elles apparaissent.
Les principaux motifs de succès du ransomware à ce jour sont la négligence de certains salariés (51 %), une protection antivirus inefficace (45 %) et la désuétude ou des failles logicielles ou du système de sécurité (26 %).
2. Ciblage des organismes publics
En 2016, 46 attaques de ransomware à l'encontre des administrations fédérales et locales ont été officiellement signalées. En 2018, ce nombre est passé à 53. Au début de l'année 2019, 21 attaques avaient déjà été enregistrées. Si ce chiffre est inquiétant, les rapports indiquent que le nombre total réel est beaucoup plus important, car de nombreuses administrations préfèrent ne pas admettre publiquement avoir subi des cyberattaques.
De nombreuses attaques par ransomware de grande envergure permettent d'attirer l'attention sur les risques auxquels sont confrontés les communes et les organismes gouvernementaux. En mai 2019, soit seulement 14 mois après une première attaque, la ville de Baltimore a été touchée une deuxième fois. Cette nouvelle attaque . La demande de rançon d'origine, que la ville a refusé de payer, s'élevait à 76 000 de dollars. La première cyberattaque avait touché le système d'appel d'urgence de la ville et entraîné une interruption limitée.
Les petites entités ne sont quant à elles pas à l'abri d'une attaque. La ville de Wilmer, au Texas, qui compte moins de 5 000 habitants a été touchée par une attaque par ransomware en août 2019. L'ensemble du réseau (des services de police à la bibliothèque) a été coupé. Le lieu n'a aucune importance pour les cybercriminels : de Johannesburg, en Afrique du Sud, avec ses plus de 5,6 millions d'habitants à la province la plus reculée et la moins densément peuplée du nord du Canada, les hackers cherchent des proies faciles.
Pour contrecarrer les cybercriminels, les organismes publics, qui n'ont généralement qu'un budget restreint dédié à la cyber-sécurité, voire n'en ont pas du tout, pourraient appliquer certaines des stratégies préventives évoquées plus haut : formation des salariés à une réaction et un signalement appropriés, mise à jour régulière des systèmes et des applications, et protection antivirus à jour et évolutive pour permettre de traiter les nouvelles menaces.
3. Biométrie
Reconnaissance faciale. Lecture des empreintes digitales. Reconnaissance rétinienne. Les outils d'identification actuels sont également un foyer d'exposition, tant pour les hackers que pour les justiciables.
Certains états américains mettent en place des protections. L'Illinois, notamment, a promulgué la loi sur la protection des informations biométriques 740 ILCS 14/1 et suiv. (« BIPA ») pour réglementer les entreprises qui collectent et stockent les données biométriques des citoyens de l'Illinois, comme les empreintes digitales. Le BIPA établit des normes sur le traitement, par les employeurs, des identifiants et des informations biométriques des salariés de l'Illinois. Il exige enfin que des mesures de sécurité raisonnables soient mises en place.
En 2018, un adolescent en visite dans un parc d'attractions Six Flags dans l'Illinois s'est retrouvé au cœur d'une affaire relative aux données biométriques que les entreprises peuvent ou ne peuvent pas collecter. Les empreintes digitales de l'adolescent avaient été prises dans le cadre de l'achat d'un abonnement saisonnier. La tentative de vérification de l'identité de l'acheteur a donné lieu un procès qu'il a remporté. En effet, l'entreprise a été citée à comparaître pour violation des lois sur la protection des données biométriques de l'état qui exigent que la personne soit prévenue et donne son accord, même sans qu'il soit nécessaire d'établir le préjudice.
Plus récemment, une entreprise de logistique offrant des services opérationnels et de gestion aux communautés de personnes âgées dans tous les États-Unis, et notamment des infrastructures en Illinois, s'est vue accusée de violation de la loi « BIPA ». Elle se sert en effet d'un système d'horodatage biométrique qui exige que les salariés utilisent leurs empreintes digitales pour s'authentifier, plutôt que des porte-clés ou des cartes d'identification. Les salariés doivent donc scanner leurs empreintes digitales pour pouvoir être ajoutés à la base de données. Le plaignant, au nom du groupe, a affirmé que l'entreprise ne respectait pas le BIPA en matière de collecte et d'utilisation des empreintes digitales. Un accord anticipé a été trouvé dans le cadre de cette affaire, mais les coûts totaux de la défense plus le règlement pour le groupe se sont élevés à environ 600 000 $.
Quels que soient les cas où des données biométriques sont collectées et/ou stockées, les entreprises doivent travailler en toute transparence. Une explication claire des pratiques et l'obtention d'un accord écrit protègent à la fois l'entreprise et le propriétaire des données biométriques. Par ailleurs, les entreprises doivent préciser comment elles comptent utiliser et stocker les données dans le cadre des processus de déclaration et d'autorisation.
Empêcher les hackers de franchir la porte
Les cyber-risques évoluent tant en termes d'envergure que de forme. Des attaques par ransomware aux expositions des biométriques, les responsabilités en matière de cyber-sécurité sont en pleine mutation. Pour que votre entreprise garde une longueur d'avance, associez-vous à un assureur expérimenté qui dispose d'une équipe d'experts pouvant vous aider tant au niveau des stratégies de prévention que des réactions en cas d'incident.
Qu'il s'agisse de menaces de ransomware ou d'expositions en raison de l'utilisation de données biométriques, votre entreprise devrait revoir ses systèmes et ses politiques pour faire en sorte que votre système soit à la fois prêt et conforme aux législations relatives à la confidentialité. Par ailleurs, il est important de savoir comment votre assureur va réagir et quelles sont vos responsabilités en cas d'infraction ou de violation des règles en matière de confidentialité. Votre assureur peut vous aider à établir un plan solide et vous proposer une offre d'assurances qui corresponde à votre exposition aux risques.
