Alors que 2019 a été annoncée comme une année faste pour le ransomware [1] et donc coûteuse pour les entreprises, l’année 2020 semble s’inscrire dans une dynamique similaire comme l’illustre la cyberattaque majeure par ransomware dont est actuellement victime Bouygues Construction.
Dans le même temps, ce début d’année a été l’occasion pour plusieurs services de lutte contre la cybercriminalité de publier des bilans de l’année 2019.
En premier lieu, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié fin janvier un rapport intitulé « Etat de la menace rançongiciel à l’encontre des entreprises et institutions ». Le ransomware étant qualifié de « menace informatique actuelle la plus sérieuse […] par le nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité », l’ANSSI a donc établi un état global de la menace prenant en compte les différentes typologies d’attaques, le profil des victimes, les coûts et les effets latents de ces attaques.
Il ressort de cette analyse que les attaques informatiques non ciblées (prenant généralement la forme d’envois massifs de courriels comportant une pièce jointe infectée) restent majoritaires et touchent des entreprises disposant de peu de protections informatiques (essentiellement des professionnels libéraux et des TPE/PME).
Toutefois, selon le rapport, une nouvelle tendance plus lucrative se dégage depuis 2018 : les attaques informatiques ciblées. Les pirates réunissent d’abord des informations sur leurs cibles (ressources financières, niveau de sécurité informatique, présence de fichiers importants voire confidentiels), puis contaminent le réseau informatique des sites de production, du siège, etc. Le coût pour l’organisme attaqué [2] peut alors avoir différentes sources qui se répercutent sur les résultats financiers : paiement de la rançon (sans garantie de récupérer les données) [3], coût de l’immobilisation des équipes [4], baisse de productivité [5], perte de revenus, diminution de la confiance des clients et fournisseurs…
En outre, la présence de l’ANSSI au récent Forum International de Cybersécurité a été l’occasion pour celle-ci de rappeler sa mission d’accompagnement face aux vulnérabilités induites par le numérique ainsi que de présenter ses ambitions pour les dix prochaines années à venir, axées autour de la compétence, de l’ouverture et de l’agilité.
En second lieu, Cybermalveillance.gouv.fr (dispositif émanant de l’ANSSI et assurant une mission d’assistance et de prévention du risque numérique) a présenté pour la première fois un bilan d’activité.
Si parmi les 90 000 victimes recensées seules 10% sont des professionnels [6], ce rapport rappelle la diversité des cyberattaques, dont le ransomware ne représente qu’une partie (environ 8%) : l’hameçonnage, le piratage de compte et le spam représentent quant à eux 55% des attaques courantes dont sont victimes les professionnels.
Les entreprises disposent de moyens pour lutter en amont contre les cyberattaques, notamment à travers la formation du personnel ayant accès à des informations sensibles, la prévention auprès des sous-traitants et la sensibilisation des collaborateurs aux risques afférents à la cybercriminalité. Des tests internes peuvent également être envisagés par l’entreprise afin d’avoir un indicateur de risque cyber.
En aval de l’attaque informatique, il est fréquent que l’entreprise doive faire face à des obligations légales (comme celles relatives aux obligations de notification en matière de protection des données à caractère personnel que nous avions évoquées ici) mais elle peut également lutter en apportant une réponse judiciaire à la cyberattaque dont elle a été victime (voir en ce sens notre précédent article).
En conclusion, notons que les différents rapports relatifs à la cybercriminalité concernant l’année 2019 ont en commun un constat sans appel : les cyberattaques se multiplient et s’intensifient au fur et à mesure des années, d’où la nécessité de ne pas négliger le cyber-risque et de l’anticiper.
* *
*
AGIL’IT se tient à votre disposition pour vous éclairer davantage sur la mise en œuvre de mesures préventives telles que la formation au risque cyber ou sur les réponses judiciaires consécutives à une cyberattaque.
Par AGIL’IT – Pôle IT, Télécoms & Data protection
Sylvie JONAS, Avocate associée
Morgane BOURMAULT, Avocate
[1] Également connu sous le nom de « rançongiciel » et pouvant être défini comme un « code malveillant empêchant la victime d’accéder au contenu de ses fichiers afin de lui extorquer de l’argent ».
[2] Il peut s’agir d’entreprises privées ou publiques mais également de collectivités comme en témoigne la cyberattaque contre la municipalité de Baltimore aux Etats-Unis ou dans une moindre mesure celle contre l’agglomération Grand Cognac.
[3] A titre d’illustration, Altran a été victime d’une attaque par ransomware en janvier 2019. La compromission initiale du système aurait été menée par une action ciblée contre un employé d’Altran en Roumanie. Après une diminution du prix de l’action en bourse, l’entreprise a payé une rançon de 300 bitcoins (environ 1 million d’euros) mais la clé de déchiffrement n’a jamais été délivrée. Le coût financier de l’attaque a été estimé à 20 millions d’euros.
[4] Par exemple en mars 2019, l’entreprise Fleury-Michon a été victime d’une attaque par ransomware et a dû interrompre sa production et mettre temporairement 3000 employés en chômage technique.
[5] En mars 2019, l’entreprise norvégienne Norsk Hydro a été victime d’un ransomware et a estimé le coût de la baisse de productivité à environ 40 millions de dollars.
[6] Si 90% des victimes ayant recours à cybermalveillance.gouv.fr sont des particuliers, ce chiffre est l’occasion de souligner que nombre d’entre eux sont, dans leur vie professionnelle, des collaborateurs susceptibles d’être victimes de cyberattaques similaires. Une partie de la sensibilisation des collaborateurs passe donc par la sensibilisation des particuliers…et inversement !