Les attaques par Internet font désormais partie du quotidien des entreprises. Ces dernières savent qu'elles peuvent être délibérément choisies et que personne n'est à l'abri.

CÉCILE DESJARDINS

Le ministère des Finances l'a avoué publiquement : c'est vrai, il a été attaqué par des cyber-méchants en début d'année dernière. Petit à petit, c'est un tabou qui semble tomber : comme Bercy, de nombreuses entreprises ont reconnu au cours de l'année passée avoir subi des attaques, perdu des données ou s'en être probablement fait dérober. De fait, la cybercriminalité n'est plus un loup-garou destiné à faire cauchemarder les directeurs informatiques : c'est devenu une réalité que beaucoup ont éprouvée. Ainsi, selon la dernière étude de PwC sur la fraude en entreprise,

23 % des entreprises

en auraient été

victimes

au cours des douze derniers mois. L'Observatoire national de la délinquance et réponses pénales (ONDRP) recensait plus de 33.000 infractions par Internet en France en 2010, représentant 1,7 milliard d'euros de pertes.
Concrètement, la cybercriminalité regroupe deux types d'infractions. « D'un côté, des crimes "classiques", comme le vandalisme ou le

vol de données confidentielles

, mais désormais réalisés au moyen de l'informatique, de l'autre, des attaques ou des infractions sur les systèmes d'information », explique Thomas Gayet, directeur du département veille en cybercriminalité chez Lexsi. Il y a tout d'abord les virus, vers divers et chevaux de Troie, qui peuvent aussi bien toucher les particuliers que les entreprises : une machine est infectée par un

logiciel malveillant

et ses données deviennent alors inaccessibles ou une intrusion dans un système qui conduit à son ralentissement progressif, parfois jusqu'à l'arrêt. « Dans certains groupes, on a vu jusqu'à 20.000 ordinateurs qui, infectés par un virus, ont subi un déni de service de plusieurs jours », indique Thomas Gayet.
Mais on a vu récemment se développer des

attaques ciblées

, visant une entreprise ou une institution précise. « Les entreprises sont aujourd'hui profilées et l'attaque est écrite spécialement pour elles, avec une technologie beaucoup plus avancée », relève Nicolas Brulez, chercheur senior chez Kaspersky Lab. Les premières attaques ciblées semblaient plus ludiques que lucratives, mais, désormais, les blocages de réseau donnent lieu à des demandes de rançon... Et d'autres attaques se font discrètes. « Il s'agit de voler le plus grand nombre d'informations, de fichiers, de bases de données à l'entreprise sans qu'elle s'en aperçoive... », indique Nicolas Brulez. C'est que la cybercriminalité s'est progressivement organisée. « C'est devenu un vrai marché, avec spécialistes de l'attaque, d'autres de la récolte d'informations ou de la vente de données », estime Thomas Gayet.

« Failles » des systèmes

D'un point de vue technique, les attaques profitent souvent d'une faille des systèmes d'exploitation ou des logiciels. Un utilisateur ouvre, par exemple, une pièce jointe à un e-mail et déclenche, sans s'en rendre compte, un programme qui permet l'entrée dans le système d'information de l'entreprise... Et, pour être sûrs de se faire ouvrir la porte, les attaquants ont de plus en plus recours à l'« ingénierie sociale » : « Grâce à des informations trouvées sur des réseaux sociaux, ils trouvent les arguments pour convaincre un salarié d'agir comme ils l'attendent », explique Luc Vignancour, directeur adjoint du département Finpro chez Marsh.
Ce qui a tout fait basculer, c'est que, désormais les ordinateurs ne sont plus seuls en cause : tout ou presque est désormais relié, d'une façon ou d'une autre aux systèmes d'information. « L'informatique n'est plus réduite à l'information de gestion : elle est partout. Tous les métiers, tous les secteurs ont aujourd'hui un volet numérique qui permet des attaques », juge Pascal Lointier, président du Clusif. On peut donc pirater le système d'alimentation en eau d'une ville, les ouvertures des portes d'une prison, le pacemaker d'une personne donnée, les réseaux ferroviaires, etc. En outre, les voies d'entrée aux systèmes se sont multipliées. « Le risque vient désormais aussi des téléphones mobiles, des tablettes, etc. : tout ce qu'on appelle "l'Internet des objet", » souligne Jean-Paul Pinte, cybercriminologue et maître de conférences à l'Université catholique de Lille.

Difficulté d'anticipation

Si le risque est aussi important, c'est que, pour un concurrent déloyal ou pour un salarié qui s'estime maltraité, la tentation est facile... « Pirater un fichier ou modifier une commande paraît presque anodin. Il est beaucoup plus facile de passer à l'acte dans la criminalité informatique que dans le réel, où, pour aboutir au même résultat, il faudrait par exemple poser un explosif... », estime Pascal Lointier. Résultat, personne aujourd'hui, ne peut plus se croire à l'abri. « Il y a eu une vraie évolution dans les discours officiels : on reconnaît désormais que tout système informatique est potentiellement violable... voire violé », estime Thomas Gayet. « La confiance qu'on pouvait avoir dans le système d'information mondial s'est effondrée. Désormais, il faut accepter qu'on est en risque », ajoute Pascal Lointier. De fait, selon l'étude de PwC, 32 % des entreprises françaises interrogées estiment qu'elles seront victimes d'une cyberattaque au cours des douze prochains mois. « Il faut désormais considérer les risques avec humilité et être bien conscients qu'on ne peut pas tout anticiper », estime Laurent Barbagli, administrateur de l'Amrae.
Selon une étude récente du cabinet Forrester Research, la sécurité représentait en 2010 14 % du budget informatique des entreprises (contre 8 % en 2007). Mais est-ce suffisant ? « La pratique de sécurité doit encore évoluer : 75 % des entreprises se disent totalement dépendantes de leur informatique, mais 75 % ne réalisent pas de véritable analyse de leurs risques ! », rappelle Pascal Lointier.

Les Echos