Cyberattaques : les pirates à l'assaut des entreprises

Cyberattaques : les pirates à l’assaut des entreprises

Morgane Remy Journaliste Option Finance 11 novembre 2015 | 0

Confrontés à une explosion des attaques sur Internet, les directeurs financiers sont de plus en plus appelés à la rescousse pour chercher les moyens, aux côtés des directions informatiques, de contrer ce nouveau type de fraude extérieure. Même si ces cyberattaques se manifestent de différentes manières (voir p.19), le but de ces escrocs très organisés est en effet le plus souvent le même : extorquer le maximum d’argent à l’entreprise ou voler des données susceptibles de se revendre au prix fort sur le marché noir.

A l’approche des ponts de mai, les directions financières vont devoir faire très attention. Avec les vacances de Noël et celles d’été, cette période est en effet la plus propice aux attaques de cybercriminels ! «Ces derniers profitent d’une moindre vigilance au sein des entreprises pour opérer discrètement», témoigne Gérôme Billois, consultant senior chez Solucom.

Outre ce pic d’activité saisonnier, les attaques sont globalement en constante augmentation. Selon le cabinet d’audit PwC, les incidents déclarés ont augmenté de 48 % à travers le monde en 2014. Leur nombre total a été de 42,8 millions l’année dernière, soit pas moins de 117 339 attaques journalières ! Elles ont très majoritairement pour but d’extorquer de l’argent aux sociétés ciblées ou de leur voler des informations pouvant ensuite être revendues au plus offrant. «Si ces attaquants mal intentionnés, les hackers, étaient au début du siècle des techniciens en recherche de défis, ils sont aujourd’hui de véritables businessmen à la recherche de retour sur investissement rapide», explique Laurent Heslault, directeur des stratégies de sécurité chez Symantec France.

Outre la hausse du nombre d’attaques, les sommes perdues quand celles-ci réussissent sont de plus en plus conséquentes. Ainsi, selon l’enquête de l’institut de recherche Ponemon de 2014 intitulée «Global Report on the Cost of Cyber Crime», le coût du cybercrime en France a atteint pas moins de 6,38 milliards de dollars en 2014. Cette somme est également en forte progression, puisque les pertes étaient estimées à 5,19 milliards de dollars en 2013. Elle recoupe plusieurs frais : la correction de la faille, les sommes volées ou les dégâts provoqués par les informations dérobées à l’entreprise.

Concrètement, l’entreprise et son directeur financier doivent dorénavant faire face à trois grands risques : le vol de données bancaires de ses clients, l’intrusion dans le système de trésorerie afin d’effectuer de faux virements et, plus récemment, l’encryptage des informations de l’entreprise avec une demande de rançon à la clef.

Un logiciel espion pour voler des données bancaires

Le premier risque pour une entreprise est de se faire voler des données bancaires. Dans la majorité des cas, ce sont souvent les coordonnées des clients qui sont dérobées car ces dernières se revendent aisément au marché noir, sur le Web. Le volume fait alors la valeur du larcin. Par exemple, le géant de la distribution américain Target s’est fait voler 70 millions de numéros de carte bleue. «En surveillant les marchés noirs, la vente de 2 millions de ces numéros bancaires a été observée, cédés en moyenne à 26 dollars l’unité, se souvient Gérôme Billois. Les pirates ont ainsi encaissé 53 millions juste sur ce segment des données volées.» Et nul doute que d’autres ventes, passées sous le radar des autorités, ont augmenté le butin ! Même si les voleurs n’ont pas vendu l’ensemble des informations détournées, l’opération demeure très rentable. «Nous estimons que, entre le repérage et la vente, l’attaque aurait mobilisé une dizaine de personnes pendant trois mois», précise Gérôme Billois.

Ces attaques suivent souvent un schéma classique. Ainsi, une ETI spécialisée en services de communication s’est fait voler les coordonnées bancaires de ses clients. Un audit de la société de conseil Grant Thornton a révélé que la faille était informatique. Un logiciel espion malveillant, un «malware», était installé sur plusieurs machines. «C’est en naviguant sur un site infecté qu’une des machines a été contaminée, témoigne Jocelyn Grignon, associé système d’information de Grant Thornton. L’infection a pu se répandre à d’autres ordinateurs dont les antivirus n’avaient pas été mis à jour.» Ce logiciel, installé sur une vingtaine de postes, a ensuite permis d’exfiltrer les informations bancaires des clients.

Ce genre de cas n’est pas rare, car les pirates privilégient de plus en plus des attaques ciblées afin d’augmenter l’efficacité de leurs logiciels espions. Selon Symantec, ces dernières ont progressé de 91 % entre 2012 et 2013, après une hausse de 42 % entre 2011 et 2012. Au sein de celles-ci, les fonctions les plus exposées aux emails extérieurs sont les assistantes de direction et les salariés des départements relations publiques, qui permettent ensuite un accès aux différents cadres dirigeants de ces sociétés.

Les attaques ciblées, pour générer de faux virements

Plus discrète, l’attaque la plus prisée actuellement vise le coffre-fort de l’entreprise : le système d’information de la trésorerie. Si cette tentative demande de fortes compétences techniques, elle permet – si elle aboutit – de manipuler directement les flux financiers de la société. La modification de factures déjà enregistrées est actuellement le mode opératoire privilégié des escrocs (voir article p. 19).

Cela a notamment été le cas au sein d’une entreprise du secteur de la santé, qui a vu les postes de travail de l’équipe trésorerie piratés. «Les fraudeurs ont commencé par envoyer un mail, contenant un logiciel malveillant en pièce jointe, à de nombreux collaborateurs de la direction financière, explique Marc Ayadi, associé responsable IT risk advisory chez Deloitte. Certains ont téléchargé la pièce jointe et cette dernière a installé un logiciel malveillant, dit cheval de Troie.» Ce malware a ensuite permis aux attaquants de pénétrer dans le logiciel de trésorerie et d’y modifier le bénéficiaire d’un virement préexistant de 5 millions d’euros. Heureusement, la vigilance d’un collaborateur a permis d’éviter le pire en détectant la fraude à temps.

La prise d’otage d’information, contre une rançon

En parallèle, une nouvelle méthode de piratage se développe, aussi bien auprès des entreprises que des particuliers : celle de la prise d’otage de données ou «ransomware». Les pirates cryptent l’intégralité des données du serveur de l’entreprise et lui demandent une rançon pour les décoder. Les escrocs se montrent là encore très pragmatiques : ils évaluent le coût du dommage pour l’entreprise et demandent en conséquence la plus grosse rançon possible sans qu’elle ne soit trop dissuasive pour autant. «S’ils demandent de 100 à 300 euros pour les particuliers, l’addition se chiffre en milliers d’euros pour les sociétés, explique Laurent Heslault. Par exemple, une société dont 17 terra-octets de données (l’équivalent de plusieurs dizaines de disques durs, Ndlr) ont été cryptées s’est vu réclamer 90 000 euros de rançon.» Cette dernière a payé la rançon car son back-up n’étant pas à jour, la perte des données aurait alors été beaucoup plus coûteuse. «Parfois, la rançon peut simplement éviter la publication gratuite ou la vente des données récupérées sur Internet, ajoute Gérôme Billois. Cela explique pourquoi Nokia a préféré payer à l’époque, mais la meilleure attitude est de résister pour éviter de tomber dans un cercle vicieux. C’est la position qu’a suivie Domino’s Pizza en 2014.»

Dans tous les cas, le comble est que les escrocs tiennent à garder une «bonne réputation». Pour ce faire, ils veillent à restituer les données dérobées en temps et en heure et sans dégâts aucun… afin d’encourager les prochaines victimes à céder ! Un «service client» qui vaut aux pirates un très fort taux d’acceptation dans ce genre d’arnaque.

Des directeurs financiers impliqués

Face à toutes ces menaces, les directeurs financiers s’emparent de plus en plus de la question. Il est vrai qu’ils sont donc particulièrement visés et constituent le dernier rempart face à ces tentatives d’escroquerie. Ils doivent être très vigilants, afin de détecter tout comportement anormal : des comptes en banques dans des paradis fiscaux, des fautes d’orthographe dans un mail ou même l’absence de jargon propre – sigles, noms de projet, titre hiérarchique… – à l’entreprise. «La culture de l’entreprise est alors l’atout le plus stratégique pour détecter les tentatives de fraudes, explique un directeur de la sûreté d’un groupe du CAC 40. Pour autant, le devoir du directeur général, du directeur de la sûreté et du directeur financier est de tout mettre en oeuvre pour mesurer le risque et l’encadrer.»

Ainsi ces derniers s’impliquent plus que jamais, y compris en amont, afin de ne plus être une cible facile. «Aujourd’hui quand nous faisons un test d’intrusion sur le système d’information trésorerie, le directeur financier s’implique, nous pose des questions très précises et nous interroge sur les compétences et les certifications des personnes qui en auront la charge comme il le ferait pour ses commissaires aux comptes, témoigne Marc Ayadi. C’était inenvisageable, il y a seulement deux ans. A l’époque, seul le directeur du système d’information s’impliquait à nos côtés.»

Aujourd’hui, les directeurs financiers sont eux-mêmes proactifs et peuvent par exemple demander un audit au moment de leur prise de poste. Cet audit peut concerner le système d’information bien entendu, mais aussi la sécurisation des infrastructures, comme les salles de conférences. En effet, certains pirates n’hésitent pas à prendre la main sur les systèmes de visio-conférence, le micro et la caméra de ces derniers pouvant être activés depuis l’extérieur.

En parallèle de cet audit, les directeurs financiers doivent réaliser une cartographie des données stratégiques et identifier quel collaborateur peut avoir accès à quel niveau d’information. «Par exemple, la recherche et développement doit être hyperprotégée et rester dans l’entreprise, sans être connectée à Internet», met en garde Laurent Heslault. Concrètement, cela signifie que tous les projets d’innovation doivent être hébergés en interne, avec un accès limité à un nombre de personnes restreint. L’audit doit alors veiller à ce que les autorisations d’accès soient mises à jour en permanence pour éviter les fuites.

Pas de risque zéro

Quel que soit son degré d’investissement, le directeur financier ou le trésorier doit surtout avoir conscience de la sophistication des attaques. Par exemple, depuis quelques mois, les dispositifs qui permettent aux financiers d’avoir un code unique pour accéder à la plateforme en ligne de leur banque, ne suffisent plus à garantir la sécurité d’un virement. «Des pirates installent des malwares qui ont pour but d’intercepter ce code au moment où il est généré afin d’accéder légitimement aux comptes et opérer ensuite des virements frauduleux», témoigne Marc Ayadi.

Les pirates étant extrêmement innovants et professionnels, le risque zéro n’existe donc pas. La meilleure solution reste alors de créer une cellule de veille dédiée à la détection et à la gestion de ces cyberattaques. Pour le moment, ce sont principalement les plus grandes entreprises qui consacrent un budget à une telle équipe spécialisée. Surtout, elles le considèrent comme une assurance contre un risque bien plus grand et non uniquement comme un poste de coûts. «Aujourd’hui plus du quart des directeurs financiers avec qui nous travaillons envisage cette dépense comme nécessaire», assure Marc Ayadi.

Un directeur financier ne pourra cependant jamais être en mesure de rendre une attaque impossible… mais seulement de compliquer suffisamment les nouvelles tentatives. En général, cela suffit à décourager les pirates. En effet, dès lors que ceux-ci estiment que les moyens à mettre en oeuvre sont trop conséquents pour attendre un retour sur investissement rapide, ils cherchent une cible plus facile. La plupart des grands groupes ont ainsi réussi à les écarter sensiblement. Seul ennui, ces derniers privilégient désormais les ETI et les PME à la fois comme victimes directes… mais aussi comme porte d’entrée auprès de leurs clients, parmi lesquels se trouvent aussi lesdits grands groupes !

Encadré : Les dix commandements de la protection contre les cyberattaques

Ton ordinateur, tu protégeras – En voyage, il ne faut pas laisser son ordinateur sans protection. Il faut le garder sur soi et utiliser un filtre de confidentialité qui permet d’éviter que vos voisins ne puissent lire l’écran. Au bureau, il faut vérifier que le poste de travail (aussi bien l’ordinateur que les câbles) n’a pas été modifié, notamment pour les membres de la direction financière particulièrement ciblés.

Des réseaux sociaux, tu te préserveras – Afin d’éviter la collecte d’information sur l’entreprise par les fraudeurs, les réseaux sociaux ne doivent pas être un canal véhiculant des données sur l’organisation interne de l’entreprise.

L’expéditeur du mail, tu vérifieras – Les adresses exotiques ou ne correspondant pas à celles utilisées en interne doivent être un signal d’alarme et éveiller la méfiance.

De l’identité de ton interlocuteur, tu t’assureras – La meilleure lutte contre l’usurpation d’identité est de contacter, en interne, l’interlocuteur qui vient d’appeler. Ce dernier confirmera – ou non – qu’il est bien à l’origine de cet appel.

Des clefs USB, tu te méfieras – Une clef USB non identifiée ne doit pas être connectée. Elle peut être porteuse d’un virus.

Les données confidentielles, tu protégeras – Les données les plus sensibles ne doivent pas être connectées à Internet et n’être accessibles qu’à quelques professionnels bien identifiés.

Les mouvements inhabituels, tu détecteras – Les entreprises doivent surveiller toute connexion ou flux de données inhabituels afin de pouvoir vérifier s’il s’agit d’une attaque.

Les mises à jour de logiciel, tu respecteras – Pour éviter les failles de sécurité repérées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), la mise à jour des logiciels proposée par les éditeurs est indispensable.

Tes collaborateurs, tu sensibiliseras – En cybersécurité, la faille est le plus souvent humaine. Former son équipe aux risques et aux processus permettant de les éviter est l’action préventive la plus importante.

De professionnels, tu t’entoureras – Les hackers sont très compétents. Il faut donc s’entourer de professionnels, soit au sein d’une cellule dédiée à l’interne, soit en faisant appel à des conseils spécialisés ou encore à des gendarmes et des policiers.

Encadré : Le glossaire de la fraude

– La fraude au président – Le fraudeur usurpe l’identité d’un dirigeant et prétexte un projet de fusion-acquisition ou de joint-venture confidentiel, pour obtenir d’un membre de l’équipe financière qu’il valide plusieurs virements sur un compte étranger.

– La fraude aux factures – Nouvelle fraude au faux virement qui consiste à produire une fausse facture ou en modifier les coordonnées bancaires afin de se faire payer une prestation imaginaire.

– Ransomware – Cette attaque concerne particuliers et entreprises. Le pirate code toutes les données d’une machine ou d’un serveur et demande une rançon pour les décrypter.

– Ingénierie sociale – La pratique est proche de l’espionnage. Il s’agit de réunir des informations personnelles et professionnelles sur des maillons clefs d’une organisation, afin de les utiliser ensuite pour manipuler sa cible.

– MICE – «Money, ideology, compromise and ego» sont les quatre leviers de manipulation utilisés pour recruter une source. Utilisée par les réseaux sociaux, et reprise par les escrocs, cette technique permet de collecter des informations.

– Malware – Souvent invisible, ce logiciel malveillant est installé discrètement à l’occasion d’un clic sur Internet ou d’une pièce jointe corrompue dans un mail.

– Cheval de Troie – Une sorte de logiciel malveillant, qui d’apparence légitime, parasite l’ordinateur. Il permet souvent d’ouvrir une porte au pirate sur le terminal contaminé afin de l’attaquer ou de l’espionner.

– Fishing ou Hameçonnage – Une technique visant à faire croire à la cible qu’elle s’adresse à un tiers de confiance, comme un collègue ou un partenaire de l’entreprise, afin de lui soutirer des informations utiles à une fraude. Ainsi, les mots de passe, les informations sur l’entreprise et les dirigeants sont activement recherchés pour ensuite créer de faux virements, accéder au système d’information ou usurper l’identité d’un salarié.

Lire la suite du dossier dans Option Finance

Cyberattaques fraude Gestion des risques Ingénierie sociale

Cyberattaques : les pirates à l’assaut des entreprises