Article publié dans l'édition Automne 2019 de Gestion

Le numérique a révolutionné le fonctionnement des organisations et leurs façons d’interagir avec les consommateurs et avec les citoyens. Toutefois, cette entrée à grande vitesse dans le monde immatériel n’est pas sans risque. Tour d’horizon des nouvelles préoccupations sécuritaires de l’entreprise.

La cybercriminalité est devenue un risque majeur, universel, auquel doivent faire face tant les individus que les organisations. Un simple clic sur un lien Internet peut faire basculer l’utilisateur d’un site Web ou le lecteur d’un courriel dans un véritable enfer numérique. Cette forme de criminalité ne connaît comme frontières que les limites des réseaux numériques.

LIRE AUSSI : « Fraudes financières et dirigeants d'entreprise : les leçons à tirer »

Son champ d’action est le cyberespace ; quant à ses victimes potentielles, elles se dénombrent par milliards. La rentabilité qu’elle offre aux cybercriminels est suffisamment intéressante pour qu’ils multiplient les tentatives et développent leur expertise déjà redoutable.

En raison de cette nouvelle criminalité, la cybersécurité est aujourd’hui une des préoccupations dominantes des dirigeants d’entreprise. Les acteurs, les victimes, les outils et les méthodes de la criminalité ont radicalement changé par rapport à ce qui avait cours avant l’arrivée du numérique. Du fait qu’une majorité de gens sont aujourd’hui connectés à Internet, les cibles potentielles des cyberattaques sont particulièrement nombreuses.

De plus, les données numériques, qui constituent une source de profit importante pour les entreprises, sont des actifs d’un type inédit, difficiles à contrôler et à sécuriser. Or, elles représentent elles aussi une source de profit alléchante pour qui sait les détourner.

Les autorités s’inquiètent

En 2011, l’Assemblée générale des Nations unies (ONU) a demandé à la Commission pour la prévention du crime et la justice pénale de constituer un groupe intergouvernemental d’experts chargé de réaliser une étude approfondie du phénomène de la cybercriminalité et des mesures prises par les États membres de l’ONU, par la communauté internationale et par le secteur privé1.

L’analyse faite par cette instance des cadres juridiques nationaux en vigueur a révélé l’insuffisance de l’harmonisation entre les principaux actes cybercriminels, les pouvoirs d’enquête et les règles d’admissibilité des preuves électroniques. De même, le recours aux moyens traditionnels de coopération internationale formelle dans les affaires de cybercriminalité ne constitue pas à ce jour une solution suffisamment rapide pour obtenir des preuves électroniques, instables par nature.

Au Canada, selon l’Enquête canadienne sur la cybersécurité et le cybercrime publiée par le Centre canadien de la statistique juridique2, un peu plus du cinquième des entreprises ont déclaré avoir été affectées par des incidents à caractère cybercriminel qui ont eu des répercussions négatives sur leurs activités en 2017.

Selon la même enquête, 54 % de ces entreprises ont déclaré que ces perturbations ont empêché leurs employés d’effectuer leurs tâches quotidiennes, tandis que près du tiers d’entre elles ont rapporté des coûts de remise en état à la suite de telles attaques. Enfin, cette enquête nous a appris qu’environ une entreprise sur dix au Canada a déclaré avoir perdu des revenus en raison d’incidents à caractère cybercriminel et que 6 % des entreprises au pays ont souffert dans leur réputation pour les mêmes motifs.

Parallèlement au développement de la cybercriminalité, des « cyberparadis » ont fait leur apparition3. Ces espaces virtuels profitent à la fois de législations nationales complaisantes, voire de l’absence totale de réglementation, et de l’inadaptation des outils juridiques traditionnels, souvent trop longs à mettre en œuvre alors que la preuve numérique ne laisse que peu de traces informatiques. Compte tenu de ces faiblesses législatives et judiciaires, il devient très difficile de démasquer les criminels.

Ces cyberparadis sont semblables aux paradis fiscaux, qui permettent aux fraudeurs de mettre leur richesse à l’abri du fisc en toute impunité. À titre d’exemples, l’Ukraine et l’Inde sont des cyberparadis notoires depuis plusieurs années4.

Des cybercrimes nombreux et coûteux

La cybercriminalité, principale fraude contre les entreprises canadiennes

Les dirigeants des entreprises canadiennes ont rapporté que les cybercrimes ont constitué le principal type de fraude commis envers les entreprises entre 2016 et 2018, suivi des détournements d’actifs et des actes frauduleux commis directement par des consommateurs.

  • 46 % cybercrimes.
  • 38 % détournements d'actifs.
  • 36 % fraudes de consommateurs.

L’actualité ne cesse de rapporter de nouveaux cas de cybercriminalité. Ainsi, en août 2012, plus de 30 000 postes informatiques de la compagnie pétrolière Saudi Aramco ont été infectés par le virus Shamoon, qui a aussi effacé la totalité du contenu enregistré sur les disques durs de milliers d’ordinateurs de l’entreprise5.

En 2017, le logiciel malveillant NotPetya a frappé les réseaux informatiques de plusieurs grandes entreprises, notamment ceux du géant danois de la logistique Maersk, qui a dû passer des semaines à reconstituer les répertoires numériques de ses conteneurs dispersés sur tous les continents et sur tous les océans.

Pour sa part, la pharmaceutique américaine Merck Sharp & Dohme a dû stopper sa production de vaccins dans le monde entier, ce qui s’est traduit par une perte de 700 millions de dollars.

Le virus NotPetya n’a pas acquis sa triste renommée uniquement pour les coûts énormes qu’il a entraînés : fait exceptionnel, les attaques auxquelles il a donné lieu ont été qualifiées d’actes de piratage par les compagnies d’assurance des entreprises lésées.

Ainsi, le Zurich Insurance Group a refusé de verser 100 millions de dollars en dommages-intérêts à la suite de la demande d’indemnisation de Mondelez, une multinationale agroalimentaire américaine, relativement aux dégâts causés par NotPetya en juin 2017. L’assureur suisse a opposé un refus au paiement réclamé par Mondelez au motif que l’attaque de NotPetya équivalait à un acte de cyberguerre et n’était donc pas couverte par la police d’assurance de son client.

L’année 2017 a également été marquée par la découverte du piratage des systèmes informatiques du cabinet-conseil Deloitte, spécialisé notamment dans la lutte contre la cybercriminalité.

Plus récemment, au début de décembre 2018, le groupe hôtelier américain Marriott a reconnu que des pirates avaient eu accès aux renseignements personnels de 387 millions de ses clients, données parmi lesquelles se trouvaient environ 5,25 millions de numéros de passeports non protégés par le chiffrement.

Peu de temps après, la plateforme Quora a elle aussi annoncé une intrusion informatique lors de laquelle les pirates ont eu accès aux données personnelles de plus de 100 millions d’utilisateurs enregistrés.

Profitez d'un rabais de 50% sur l'ensemble des abonnements de la Revue Gestion avec le code de réduction CYBER50

Du temps et des investissements

Bien que se multiplient les menaces contre les organisations, les dirigeants peuvent établir des mesures de sécurité efficaces. Le Centre canadien pour la cybersécurité6 invite ainsi les organisations à définir les attaques dont elles sont victimes et les vulnérabilités dont elles souffrent afin de déployer les mesures adéquates.

Une menace est définie comme étant toute cause possible d’un incident, d’un événement ou d’un acte pouvant nuire à une organisation ainsi qu’à ses systèmes informatiques et aux renseignements qu’ils contiennent. Les menaces peuvent être des catastrophes naturelles ou encore des actes humains délibérés ou accidentels.

Par comparaison, une vulnérabilité est une lacune ou une faiblesse inhérente à des mesures de sécurité déjà en vigueur. L’utilisation de versions de logiciels périmées, d’information non chiffrée, de mots de passe faibles ou de logiciels infectés par un virus constitue une vulnérabilité en soi. Or, devant tous ces risques, non seulement les dirigeants d’organisation mais aussi les particuliers dans leur vie quotidienne ont encore un vaste travail à faire.

Ce travail représente un coût de plus en plus élevé pour les entreprises. Selon l’étude The Cost of Cybercrime7 publiée en 2019 par le cabinet-conseil Accenture, les coûts reliés aux logiciels malveillants ont augmenté de 11 % en un an pour les entreprises, atteignant une moyenne de plus de 2,6 millions $ US pour chacune d’elles. Quant aux coûts attribuables aux initiés malveillants – employés, personnel temporaire, contractuels, partenaires d’affaires externes, etc. –, ils ont augmenté de 15 % pour atteindre une moyenne de 1,6 million $ US par entreprise.

Selon la même étude, les coûts de la cybercriminalité s’établissent en fonction de ce qu’une entreprise dépense pour détecter et contenir les cyberattaques, pour investiguer à leur sujet et pour tout remettre en état de marche par la suite. Ces coûts comprennent aussi les dépenses engagées par l’entreprise à la suite d’une attaque, notamment pour minimiser le nombre de clients perdus.

De nouvelles vulnérabilités

La multiplication des objets connectés accroît d’autant le nombre de cibles potentielles pour les cybercriminels. En effet, l’Internet des objets est en pleine explosion. À l’heure actuelle, l’entreprise américaine Gartner estime que 14,2 milliards d’objets connectés sont en activité dans le monde ; d’ici 2021, leur nombre pourrait atteindre les 25 milliards. Il peut s’agir notamment de décodeurs numériques, de capteurs électroniques intelligents ou de caméras de surveillance.

En octobre 2016, le logiciel malveillant Mirai a provoqué la paralysie d’une portion considérable du Web. Élaboré par des cyberpirates, ce programme a notamment saturé les serveurs de l’entreprise informatique américaine Dyn, qui offre des services DNS8, et empêché les internautes d’accéder aux sites Web qu’ils souhaitaient consulter.

Pour réaliser cette opération, le logiciel s’est infiltré dans des millions d’objets connectés mal protégés, essentiellement des caméras de surveillance, et a ensuite envoyé un nombre de requêtes si élevé aux serveurs de Dyn que ceux-ci ont cessé de fonctionner. Toutefois, le cybercrime le plus original à ce jour est probablement l’intrusion perpétrée dans le système informatique d’un casino américain en octobre 2018, lors de laquelle les pirates ont réussi à avoir accès aux données numériques de l’établissement de jeu en passant par le thermomètre connecté d’un des aquariums de l’édifice !

LIRE AUSSI : « La révolution numérique : ses impacts sur le travail et les organisations »

Ces exemples illustrent bien les conséquences désastreuses de la cybercriminalité pour les entreprises. Et ce n’est pas tout : la cybercriminalité a dépassé les limites informatiques et a maintenant franchi la frontière de la sécurité corporelle. Par exemple, de plus en plus d’experts mettent en garde contre le piratage d’appareils médicaux comme les stimulateurs cardiaques et les pompes à insuline. Le risque de lésions, de blessures, voire de décès, est directement lié à la sûreté des appareils eux-mêmes.

De par leur nature, les appareils médicaux ont toutes les caractéristiques convoitées par les pirates : ils peuvent communiquer sans fil et être contrôlés à distance, ils collectent des données et les analysent en tirant parti de la mobilité, de l’infonuagique et des technologies de traitement des mégadonnées. Ces appareils risquent donc de se faire pirater : leurs canaux de communication seront brouillés et leur contenu irrémédiablement altéré.

La mise en échec de la cybercriminalité est un objectif que toutes les organisations, petites ou grandes, doivent intégrer dans leurs stratégies de gestion des risques. Cela ne passe pas uniquement par le recours à des experts ni par l’acquisition de systèmes informatiques spécialisés. Il faut avant tout adapter la gouvernance et la culture des entreprises aux dangers des nouvelles technologies.

Si le passage au commerce électronique et au management numérique a introduit de nouvelles pratiques de gestion, le phénomène de la cybercriminalité ajoute une préoccupation supplémentaire à la liste des nombreux défis que doivent surmonter les dirigeants, tout comme il transforme profondément la vie quotidienne au sein des organisations.

Notes

1 Organisation des Nations unies, « Étude approfondie sur le phénomène de la cybercriminalité et les mesures prises par les États membres, la communauté internationale et le secteur privé pour y faire face », Vienne, Office des Nations unies contre la drogue et le crime, 2013, 18 pages.

2 Bilodeau, H., Lari, M., et Uhrbach, M., « Les défis des entreprises canadiennes quant à la cybersécurité et au cybercrime », Centre canadien de la statistique juridique et Statistique Canada, mars 2019, 20 pages.

3 Quéméner, M., « Pour une lutte plus efficace contre la cybercriminalité », Sécurité globale, vol. 3, n° 15, septembre 2018, p. 5-16.

4 Le cabinet américain Akanai Technologies publie un classement annuel des pays d’où proviennent les principaux actes cybercriminels.

5 Passemard, J.-P., « Cybercriminalité, nouvel enjeu sécuritaire du xxie siècle », Sécurité globale, vol. 2, n° 24, 2013, p. 59-68.

6 Le Centre canadien pour la cybersécurité a été créé en octobre 2018 lors de la définition de la Stratégie nationale de cybersécurité du Canada.

7 Les données utilisées pour réaliser cette neuvième étude annuelle ont été recueillies au cours de 2 647 entrevues menées sur une période de sept mois à partir d’un échantillon comprenant les représentants de 355 entreprises établies dans 11 pays (Allemagne, Australie, Brésil, Canada, Espagne, États-Unis, France, Italie, Japon, Royaume-Uni, Singapour). Parmi les personnes interviewées se trouvaient 179 hauts dirigeants de 25 entreprises canadiennes. Cette étude indique le coût annualisé de tous les actes de cybercriminalité s’étant produits pendant un an (2017-2018).

8 Le Domain Name System (DNS), ou « système de noms de domaine », forme en quelque sorte les Pages jaunes d’Internet. Grâce aux adresses IP assignées à tous les ordinateurs connectés, il permet à un ordinateur d’en localiser un autre. Un pare-feu DNS peut donc bloquer les demandes de connexion provenant d’adresses IP jugées potentiellement malveillantes.