La cybercriminalité est le crime économique le plus signalé au Canada. Il devance maintenant le détournement d’actifs et les fraudes commises par les consommateurs. Comment endiguer cette dangereuse tendance? Peut-être faudrait-il reconnaître le problème à la source de ce phénomène. Inutile de chercher trop loin…

La cybersécurité est devenue un enjeu central dans la lutte contre la criminalité informatique. Être victime d’un acte cybercriminel implique non seulement une perte financière, mais également une atteinte à la réputation de l’entreprise et un risque de poursuites judiciaires liées à la faiblesse de la protection. Selon une étude publiée en 20181, 62 % des entreprises canadiennes ont procédé à une évaluation de leur vulnérabilité face aux cyberattaques. Toutefois, seulement 39 % des entreprises ont développé un plan d’intervention en cas d’incident de cybersécurité.

Parmi les techniques utilisées par les cybercriminels, l’hameçonnage est le plus courant2. Cette technique consiste à envoyer un courriel à un individu en se faisant passer pour un tiers de confiance et en l’invitant à cliquer sur un lien. Une fois le lien activé, si la victime est un salarié, le pirate informatique peut pénétrer dans le système informatique de l’entreprise. Le pirate peut également profiter de la situation pour obtenir des informations privées de la part de la victime. Ainsi, nous pouvons citer l’exemple d’un pirate qui se fait passer pour une banque et qui envoie un courriel à un client afin de lui demander ses informations bancaires. Le courriel utilise le logo, l’adresse postale et le nom d’un responsable pour rendre le client confus et l’inciter à cliquer sur le lien disponible dans le courriel.

La technique d’hameçonnage qui devient de plus en plus fréquente est le cyber-rançonnage. Cette stratégique consiste, pour les pirates informatiques, à implanter un logiciel appelé ransomware, qui rend tous les fichiers illisibles et qui demande une rançon en échange d’une clé de déchiffrement. Dans une majorité des cas, le paiement est inutile, car les données restent cryptées malgré le versement d’une somme d’argent.

Dans le contexte de la cybercriminalité, le risque est accru lorsque la victime fait preuve de cybernaïveté. La naïveté est définie de la manière suivante3 : « Parole, acte, remarque qui marque l'excès de confiance, l'irréflexion ». La cybernaïveté pourrait être définie de la même façon en l’appliquant tout simplement au monde virtuel.

L’étude citée ci-dessus révèle que 48 % des répondants s’attendent à ce que la cybercriminalité soit le crime économique le plus perturbateur dans leur entreprise au cours des 24 prochains mois. Dans cette perspective, la lutte contre cette forme de criminalité se fonde principalement sur une approche technologique et informatique, oubliant que la première faille est souvent humaine. Or, les cybercriminels tirent avantage de la naïveté des individus envers les outils informatiques au sens large. Une trop grande confiance ou une cybernaïveté sévère rend inefficaces les systèmes de protection les plus perfectionnés. C’est l’excès de confiance qui permet aux cybercriminels d’usurper les renseignements personnels, de détourner leurs actifs ou  d’extorquer les entreprises en réclamant une rançon.

Une question de confiance

La naïveté des individus est notamment fondée sur la confiance excessive qu’ils accordent aux logiciels censés lutter contre les malveillances dans le monde virtuel et lors des échanges qui s’y déroulent. C’est cette même confiance qui est souvent la cause des fraudes plus traditionnelles. La probabilité de voir des individus et des salariés se laisser convaincre par des offres intéressantes sur Internet ou être bernés par des communications en apparence officielles est encore aujourd’hui élevée. Ainsi, le facteur humain est le maillon le plus faible de la chaîne de la lutte contre la cybercriminalité et, malgré ce constat, il ne figure pas aux premiers rangs des considérations de sécurité.

La réponse actuelle au risque que représente l’excès de confiance est malheureusement insuffisante. Nombreux sont les dirigeants qui estiment que leurs entreprises sont correctement protégées contre la cybercriminalité. De plus, l’utilisation des technologies de surveillance ou de logiciels contre le piratage incite les dirigeants à faire confiance aux responsables informatiques. Ainsi, la cybersécurité n'est actuellement que rarement ou occasionnellement discutée dans les conseils d'administration. En 2018, seulement 54 % des entreprises disposaient d’un conseil d’administration qui abordait le sujet4.

Il est intéressant de noter que les études réalisées sur la lutte contre la cybercriminalité consacrent souvent peu de place aux connaissances informatiques des individus exerçant des professions dans un secteur autre que technologique ou financier. Pourtant, les risques sont importants dans tous les secteurs de l’entreprise. Ils sont même plus présents chez ceux ne disposant que de compétences limitées en cybercriminalité, car la confiance dans le monde virtuel est par définition plus élevée chez ceux qui n’en connaissent pas les risques.

Les réseaux sociaux : source de vulnérabilités

Les systèmes de sécurité informatiques, aussi efficaces qu’ils peuvent être, ne permettent pas de prémunir l’entreprise contre l’ensemble des risques liés aux comportements du personnel. Pour un cybercriminel, il est en effet plus aisé de contourner les barrières sociales que de forcer un système informatique.

En effet, le piratage informatique commence souvent par un piratage social ou psychologique. Kevin Mitnick, un des cybercriminels les plus connus de l’histoire et le premier à avoir été inscrit sur la liste des 10 criminels les plus recherchés par le FBI, a été l’un des premiers à faire la démonstration du rôle essentiel de la dimension sociale inhérente aux actes de piratage. Dans son livre The Art of Deception5, il présente des études de cas illustrant la manière dont les pirates informatiques utilisent l'ingénierie sociale pour compromettre les systèmes informatiques les plus techniquement sécurisés. Cette ingénierie est une technique de manipulation psychologique des victimes lors des actes cybercriminels.

Nous pouvons citer le cas du pirate qui se fait passer pour un stagiaire lorsqu’il appelle le responsable informatique de l’entreprise en lui demandant son mot de passe pour accéder au réseau interne tout en lui demandant de ne rien dire à son responsable. Ce stagiaire a en effet peur d’être licencié si son responsable l’apprend. La sympathie du responsable informatique, qui va aider le stagiaire, et son silence permettent au criminel de bénéficier du temps nécessaire pour détourner des fonds ou pour voler des actifs intellectuels grâce aux mots de passe obtenus.

La pandémie de la COVID-19 représente une période particulièrement intéressante pour les cybercriminels. Le recours massif au télétravail et l’accroissement des communications par courriel sont autant d’occasions pour des pirates informatiques. Alors, comment faire face à ces risques majeurs grandissants?

Certaines entreprises ont choisi de recourir à de nouvelles méthodes et à de nouveaux outils de lutte contre la cybercriminalité. D’autres ont fait le choix de changer leur mode de surveillance du personnel afin de les protéger et de mieux prémunir l’organisation, ou ont mis en place de nouvelles façons de gérer les finances et les risques. Quel que soit le moyen entrepris, les entreprises ne peuvent plus ignorer le risque de cybernaïveté à tous les échelons de leur organisation. L’heure est à l’action.


Notes

1 PWC, Faire la lumière sur la fraude, Sondage Global Economic Crime and Fraud 2018, Perspectives canadiennes, 2018.

2 Selon l’étude de PWC, l’hameçonnage représente 58 % des techniques de cyberattaque utilisées contre les entreprises.

3 Dictionnaire Le Grand Larousse illustré.

4 RSM, Catch-22 : digital transformation and its impact on cybersecurity, 2019, disponible sur le site www.rsm.global.

5 Mitnick, K. The Art of Deception: Controlling the Human Element of Security, Wiley, 2003.