Comment se protéger et lutter contre la cybercriminalité ?

Comment se protéger et lutter contre la cybercriminalité ?

<Retour aux résultats
Publié le :
Occitanie

Après un cursus universitaire en Mathématiques Financières avec une composante informatique importante, Emilio Ortega a été pendant 6 ans en poste à la BPCE en tant que Maîtrise d’ouvrage. Une fonction qui consiste à faire l’interface entre les utilisateurs des outils et les équipes informatiques en charge du développement lors de la conception et de la maintenance évolutive des outils.
Depuis un peu plus d’un an, il est responsable du programme BP SUD de mise en conformité RGPD dont l’une des composantes principales est de mettre en œuvre des mesures techniques et organisationnelles pour garantir la sécurité des données, volet lutte contre la cybercriminalité.
La Banque Populaire du Sud est une banque régionale coopérative présente dans sept départements : l’Ariège, l’Aude, le Gard, l’Hérault, la Lozère, les Pyrénées-Orientales et le sud de l’Ardèche.
Banque Populaire du Sud, ce sont quatre établissements bancaires sur l’Occitanie, soit plus de 2000 collaborateurs. Ils sont intégrés au groupe BPCE.

Qu’est-ce qui a fondamentalement changé dans la façon dont les entreprises, et les banques en particulier, se positionnent par rapport au numérique ?

Au début des années 2000 on était plutôt sur un système centralisé de type château fort. Les systèmes d’information des entreprises étaient refermés sur eux-mêmes et en termes de sécurité on considérait que tout ce qui était externe était systématiquement hostile.
Avec l’arrivée du digital, l’avènement des équipements nomades, on a évolué vers des systèmes d’information plus ouverts vers l’extérieur : anywhere, anytime, any device (partout, tout le temps et sur tous les appareils). Les systèmes d’information sont décentralisés : utilisation de service de clouds externes, progiciels en mode SAAS accessibles sur des smartphones ou des ordinateurs portables (sur site ou en mobilité). Et de nouveaux services sont accessibles à des tiers, via un certain nombre d’API.
On peut illustrer ça par une image d’aéroport. En terme de sécurité, les actifs sont protégés en fonction de leur sensibilité. Quand on entre dans l’aéroport il n’y a aucun contrôle, plus vous approchez de l’avion plus les contrôles sont resserrés.
Cette transition s’est accompagnée d’une évolution des modèles économiques des systèmes d’informations, des économies substantielles sur l’évolution du coût des infrastructures permettant de financer de nouvelles solutions innovantes au service de leurs clients.

C’est pour cela qu’on entend de plus en plus parler de cybercriminalité ?

Aujourd’hui, le risque cyber est considéré comme un risque systémique pour le système bancaire. Il y a les cybercriminels dont l’objectif est plutôt financier (récupérer des données pour escroquer, faire chanter, demander des rançons). Le cyber activiste représente plutôt un risque en terme d’image : il va exfiltrer des données pour les publier ou défigurer le site internet pour nuire à l’image du groupe. Enfin, il y a le cyber terrorisme, ce sont des attaques de grande ampleur visant à déstabiliser tout un secteur d’activité, voire un Etat.

Face à cela, quelle attitude doit avoir une entreprise ?

Avant tout connaître ses vulnérabilités. Il y a les composants informatiques et les processus métiers bien sûr. Mais également, voire surtout, l’humain. On déporte beaucoup de traitements, il faut être ouvert vers le client. Les fondamentaux au niveau de la sécurité changent donc énormément. C’est là-dessus qu’il faut insister. Aujourd’hui on est rarement pris en défaut sur des points de sécurité mais via la « crédulité » des personnes. L’entreprise doit veiller à proposer des parcours de formations adaptées aux populations (internes et externes) et à ces enjeux, et être en mesure d’évaluer le niveau de sensibilisation de ces collaborateurs.

Qu’est-ce qui doit attirer l’attention en premier lieu ?

Le cas le plus classique, c’est de se faire piéger par les emails qu’on reçoit très régulièrement dans le cadre de notre activité professionnelle. On distinguera :

  • les spams : mails non sollicités envoyés en grande masse mais qui n’ont pas forcément vocation à attaquer le Système d’information,
  • le phishing : mails envoyés de manière plus ciblée et ont vocation à récupérer des infos personnelles ou à compromettre le poste informatique et le réseau de l’entreprise.
  • le spear phishing : peut-être les cas les plus sensibles pour les entreprises. On parle ici d’attaques ciblées où l’attaquant a choisi sa cible et a un objectif précis (vol d’information, fraudes…).
    Dans tous les cas il faut se souvenir que les mails c’est comme les bonbons : on n’accepte pas ceux des inconnus.

Concrètement, comment fonctionnent ces mails ?

Il y a ceux porteurs de charges malveillantes (via une pièce jointe ou un lien frauduleux) : le collaborateur va cliquer dessus et cela va, par exemple, installer sur son poste un logiciel malveillant de type ransonware (chiffrement des données et affichage d’un message demandant le paiement d’une rançon) ou bien installer une porte dérobée pour les attaquants…
Le deuxième type d’attaque, dans un scénario classique de type phishing, va renvoyer l’internaute vers de faux sites afin de dérober des données personnelles (identifiant, mot de passe, …).

« Un clic c’est comme pour les dominos, il suffit d’un seul pour que tout s’écroule ».

Comment les hackers se procurent-ils des carnets d’adresse d’une ampleur suffisante pour lancer de larges attaques ?

Récemment un chercheur en sécurité informatique a trouvé un site web qui répertoriait 700 millions d’adresses mail et 80 millions de mots de passe. Pour des hackers c’est de la matière à exploiter pour ensuite faire des attaques de masse (phishing, déni de service…).
Il faut donc suivre quelques règles simples pour se protéger : limiter la diffusion de votre adresse électronique professionnelle, ne jamais répondre à un spam, ne pas ouvrir les pièces jointes d’un mail non sollicité, ne pas cliquer sur les liens sans vous être assuré de leur fiabilité.

Enfin, il faut également être très vigilant avec les objets connectés à votre système d’information : certains embarquent leurs propres systèmes d’information et peuvent être porteurs de vulnérabilité. Par exemple : les caméras de surveillance, les centrales d’alarme, la domotique, les microphones des téléphones… Ils peuvent être un point d’entrée pour les attaquants.

Vous mettez aussi l’accent sur ce que vous appelez l’ingénierie sociale. Qu’entendez-vous par là ?

Elle fait référence à des pratiques de manipulation psychologique à des fins d’escroquerie. Il y a la fraude au président par exemple. En utilisant ses connaissances de l’entreprise, son charisme et beaucoup d’aplomb, le fraudeur arrive à nous faire réaliser des opérations qu’en temps normal nous n’aurions pas exécutées. Il va faire en sorte de mettre en avant les qualités professionnelles de son interlocuteur, qualités reconnues de tous, l’informer d’une opération à réaliser sous le sceau de la confidentialité, puis mettre un bon coup de pression le moment venu pour parvenir à ses fins, c’est-à-dire l’exécution d’un virement frauduleux, très souvent vers l’étranger. Là typiquement il n’y a pas de faille de sécurité, c’est vraiment la faille humaine qui est exploitée.
Autre type de fraude qui est tout autant répandue, c’est la fraude au fournisseur. On a un fournisseur auquel on doit régler une facture et peu avant le règlement, il envoie un mail disant que son RIB a changé et qu’il faut le payer sur ce nouveau compte.

Face à ces risques, quelles procédures mettre en place ?

Là encore il faut avant tout sensibiliser les collaborateurs, les former. Tant qu’on n’a pas été piégé on considère que ça ne peut pas nous arriver.
Ensuite, mettre en place des processus de « quatre yeux », avec des doubles regards, la séparation des tâches entre saisie et validation, des procédures de contre-appel, etc.
Enfin, pour les grandes entreprises, il faut se doter de services qui assurent une veille constante (sur les vulnérabilités potentielles des composants, les usurpations d’identité de la marque sur les stores d’applications, etc.) et permettent de détecter les incidents au plus tôt.

Enfin, en tant qu’exposant qu’est-ce que vous apporte le Salon Coventis ?

Véritable creuset d’idées et d’échanges, Coventis est le seul événement où peuvent se rencontrer tous les acteurs de l’écosystème de l’Economie Sociale et Solidaire (ESS) pour contribuer à un modèle économique gagnant. C’est aussi un moment idéal pour échanger, contracter avec les différentes structures présentes et visiteuses.
Pour le département ESS de la Banque Populaire du Sud, c’est indispensable d’être présent à cet événement : en tant que banque coopérative avec des valeurs partagées (notre ADN) et faisant partie de cet écosystème, nous sommes donc légitimes. C’est aussi parce que l’ESS est un de nos marchés privilégiés : plus de 10 000 structures clientes à la BP Sud et une forte volonté de développement ! Et enfin car nous avons une offre et une organisation dédiées. C’est donc pour nous l’occasion de nouer des contacts et de présenter nos offres, rencontrer les acteurs de l’ESS, faciliter leurs projets et leur développement.
Présents depuis l’origine, nous avons participé à ses différentes évolutions et avons constaté avec plaisir la participation grandissante. Coventis a été l’occasion de signer de nombreuses conventions : avances sur subvention, signature et lancement de notre convention Pop’Asso.

Coventis

Une marque de :

Région Occitanie CRESS Occitanie

Avec le soutien de :

Banque Populaire Occitane A Crédit Agricole Toulouse Crédit Coopératif Harmonie Mutuelle MGEN Mutuelle du Rempart Mutualité Francaise Occitanie Mutuelle Ociane Matmut Toulouse Métropole Logo Préfecture