Un risque évalué à 6 000 000 000 000 dollars

La somme est peu compréhensible. Imaginer que l’on vient de remporter à la loterie nationale le premier gain, correspondant à plusieurs dizaines de millions d’euros pour franchir la centaine, n’est pas quantifiable pour le commun des mortels. Alors parler d’un montant de 6 000 milliards de dollars dépasse l’entendement. Si le réchauffement climatique engendre des modifications des territoires et du mode de vie de la population mondiale, les cyberattaques semblent plus préoccupantes, car des secrets peuvent être révélés.

C’est pourtant une estimation qui, selon le Club des Juristes, le think thank juridique français, ne baissera pas dans le proche futur, d’ici à 2025. Le rapport, piloté par Bernard Spitz, président du pôle Europe et international du Medef, et Valérie Lafarge-Sarkozy, associée du cabinet Altana, émettent dix préconisations pour renforcer la protection des institutions, des entreprises et des citoyens. « Le scénario d’une cybercriminalité coûtant 10 500 milliards de dollars par an à l’horizon 2025 appelle un changement de posture et des investissements d’ampleur », indique le think tank. Le compte rendu de 90 pages tire un portrait au couteau de la situation.

Avant de poursuivre, voici quelques conversions pour vous aider à la compréhension des montants, en composant avec comme unité les secondes :

• Une journée de 24 heures représente 86 400 secondes
• Un millier de secondes équivaut à seize minutes et quarante secondes
• Un million de secondes produisent 277, 78 heures, soit 11 jours et demi
• Un milliard représente 31, 68 années
• Six mille milliards permettent de vivre 190 128 années, 6 mois, 1 semaine 22 heures, 59 minutes, 13 secondes et 920 millisecondes
• Dix mille cinq cents milliards offrent près de 333 siècles (332 724, 92 années)

Le rapport sur l’ « évaluation des menaces liées à la criminalité organisée sur Internet » d’Europol (IOCTA) fournit, sur 72 pages, une vue d’ensemble des menaces et des tendances des crimes commis, comme facilités en ligne. Le rapport met également en évidence les nombreux défis associés à la lutte contre la cybercriminalité, tant du point de vue des services répressifs que, le cas échéant, du secteur privé. « L’augmentation de la cybermenace est en effet particulièrement inquiétante puisque le nombre d’attaques par rançongiciel traitées par l’ANSSI a été multiplié par 4 entre 2019 et 2020, passant de 54 à 192. Depuis le début de l’année 2021, cette courbe n’a pas fléchi et nous apportons sans cesse une assistance à près d’une quarantaine de victimes simultanées. Des victimes d’importance en termes de sécurité nationale, économique ou sanitaire… », explique Guillaume Poupard directeur de l’ANSSI.

Les différentes et principales manières de subir une infection sont en premier les ransomwares (WannaCry, Maze, Bad Rabbit…), les attaques par déni de service, ou DDoS, le cryptojacking, la fraude au faux support informatique, le phishing ou hameçonnage, l’espionnage économique, le sabotage (NotPetya, …), et le hacking de logiciel (Solarwinds…)

Quelques chiffres :

• 600 milliards de dollars de coût global et mondial en 2017
• 8, 6 millions d’euros est le coût moyen pour les entreprises françaises en 2018
• + 667 % d’attaques par phishing en France en 2020, entre le 1er et le 23 mars

Par comparaison, le poids économique que représente le coût de la cybercriminalité fait d’elle la troisième organisation mondiale derrière les États-Unis et la Chine. Si le SARS-CoV-2, vulgairement nommé Covid-19, change les habitudes de travail, il permet de mettre en exergue les insuffisances en matière de sécurité sur les différents systèmes d’information. Car le télétravail est devenu la source d’un cas sur cinq des incidents, tout en accélérant et facilitant les infections.

Différentes actions de fraude possibles

De plus en plus d’escroqueries ou de tentatives existent. Le Typosquatting est la création d’un nom de domaine approchant pour tromper la victime. Par exemple, le remplacement d’un tiret par un point (amendes-gouv.fr et amendes.gouv.fr), l’incitant à venir payer en ligne. Le Phishing, ou l’envoi de mails frauduleux à des fins publicitaires, de cessions de produits prohibés, de recueil délictueux de codes et coordonnées bancaires, mais pas seulement. Cela peut permettre, par infection d’un code malveillant, pour contrôler le système et commettre des escroqueries. Fréquemment le piratage de votre numéro de carte bleue est revendu sur les sites plus profonds de l’internet, le carding.

Le Skimming est la récupération des coordonnées de votre carte bancaire par lecture de la piste dans des distributeurs automatiques de billets (DAB). Tout autant les escroqueries au logement, la location, etc.

Se donner les moyens de lutter à armes égales

« La nature même du cyberespace impose de faire coopérer public et privé, aussi le rapport préconise d’étoffer les services de la justice […] en créant une filière de cybermagistrats, en renforçant les moyens d’enquête et en incitant les entreprises à déposer plainte rapidement à chaque attaque cyber pour permettre la remontée et le démantèlement des filières […] », souligne le Club des juristes. La spécificité de la cybercriminalité, la technicité des modes opératoires des opérateurs ont nécessité la création de services d’enquête dédiés, ainsi qu’une spécialisation progressive de l’institution judiciaire.

En France, plusieurs entités se distinguent :

• La sous-direction de lutte contre la cybercriminalité (SLDC)
• L’office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC)
• La Brigade de lutte contre la cybercriminalité (BLCC), anciennement Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI)
• La Brigade de protection des mineurs (affaires de pédopornographies, grooming)
• La brigade de répression de la délinquance envers la personne traite des affaires de diffamation, d’apologie du terrorisme, du droit pénal du travail via internet
• Le centre de lutte contre les criminalités numériques (C3N)
• Les douanes, en particulier la direction nationale du renseignement et des enquêtes douanières (DNRED)

Pour autant, sans plainte pas de poursuite, ni condamnation et réparation, si tant est que cela soit possible. La majorité des infractions liées à des cyberattaques étant des délits, le dépôt de plainte, pour être recevable, doit l’être dans un laps maximum de 6 ans à compter de la date de commission des faits. Il va de soi qu’elle doit être déposée dans les délais les plus brefs, il est essentiel d’aller vite et d’être réactif. « Pour déposer requête devant des forces de l’ordre, il suffit de se rendre au service de police ou de gendarmerie le plus proche de l’entreprise ou du lieu de constatation des faits. Pour rappel, les officiers et agents de police judiciaire ou gendarmes sont obligés de recevoir les plaintes, même si les faits ne relèvent pas de leur zone géographique de compétence. La plainte ne sera qu’exceptionnellement déposée auprès d’un service spécialisé adapté à la cyberattaque », stipule le rapport.

Les informations à produire peuvent être :

• le descriptif précis de l’incident
• les coordonnées de la totalité des intervenants ou prestataires susceptibles d’apporter des informations aux enquêteurs
• l’ensemble des éléments techniques qui ont pu être collecté : traces informatiques de l’attaque (exemple : logs de connexion), l’adresse précise de la ou des machines attaquées (préciser s’il s’agit d’un poste de travail professionnel, d’un mobile ou encore d’une attaque du site internet, du serveur hébergé auprès d’un fournisseur d’accès internet)
• Les mails en lien avec l’infraction, l’organigramme de la société, la liste du personnel, les coordonnées des différents prestataires (hébergeur, société de sécurité)

Le rapport se conclut par dix préconisations :

1. Faire de la lutte contre la cybercriminalité une cause nationale pour 2022
2. Promouvoir la spécialisation des magistrats du siège et du parquet et leur formation continue
3. Renforcer la coopération public/privé, et, orienter l’investissement public comme privé vers l’émergence d’une filière française et européenne d’excellence en cybertechnologie
4. Étoffer les services de la justice en matière de lutte contre la cybercriminalité
5. Simplifier les procédures d’enquête sous pseudonyme dans le « darknet »
6. Adoption d’un régime européen de conservation des données permettant de répondre aux besoins opérationnels des services répressifs et judiciaires
7. Inciter les États sanctuaires à mettre fin à l’impunité des groupes cybercriminels
8. Signature de protocoles avec l’ensemble des agences et autorités administratives indépendantes concernées
9. Investir dans la prévention contre les cyberattaques
10. En cas de cyberattaque, déposer immédiatement plainte

La difficulté serait d’inciter à la fin de l’impunité des groupes criminels, dans divers pays. Car, il arriverait, selon les ouï-dire, que des attaques puissent être fomentées par des États contre d’autres (StuxNet, SolarWinds…), ce pour diverses raisons.