[EXCLUSIF] Plus de la moitié des entreprises françaises ont déjà été touchées par un ransomware. Comment expliquer le faible nombre de plaintes enregistrées par les forces de l’ordre ?
Si votre entreprise faisait l’objet d’une cyberattaque, le signaleriez-vous à votre PDG ou au conseil d’administration ? Aux forces de l’ordre ? Selon le Centre de Lutte contre les Cybercriminalités numériques (C3N), en 2014 les cas de plaintes concernant les ransomwares se comptaient sur les doigts d’une main. En 2015 le C3N en dénombrait une centaine et il en a enregistré plus de 500 en 2016, estimant que ce chiffre était loin de représenter la réalité.
Nous ne pouvons que confirmer cette inquiétude puisqu’une étude récente de SentinelOne a révélé que 52 % des entreprises françaises étudiées avaient subi une attaque par rançongiciel au cours de 12 derniers mois et que seules 49% des sondées avaient signalé le(s) incident(s) à aux autorités compétentes. Imaginez un peu à quoi ressembleraient les chiffres du cybercrime si les 51 % restants avaient signalé leurs attaques.
Pourquoi toutes les organisations ne signalent-elles pas le cybercrime ? Et quel impact ce comportement a-t-il sur notre façon d’aborder ces menaces ?
La crainte de parler
Aucune entreprise ne veut renvoyer une image de faiblesse ou de vulnérabilité, et c’est cette crainte de voir sa réputation mise à mal qui dissuade les entreprises de signaler le cybercrime aux autorités. Selon le rapport Cyber Security: Underpinning the Digital Economy réalisé par l’Institute of Directors et la banque Barclays, les entreprises passent sous silence les cyberattaques dont elles sont victimes, y compris lorsque leurs activités en ont été sévèrement affectées[1]. Il se peut également qu’elles ne comprennent pas bien ce qu’implique le signalement du cybercrime et ce que la police exigera d’elles.
Les dangers liés au non-signalement du cybercrime
Selon le cabinet PwC, le cybercrime a coûté 3,36 milliards d’Euros aux entreprises françaises en 2015 et le fait qu’il soit très peu signalé est un réel problème. Si les entreprises ne dénoncent pas les incidents liés au cybercrime, comment les forces de l’ordre, l’ANSSI et les autres organes dédiés à la lutte contre le cybercrime sauront-ils où et comment affecter les ressources nécessaires pour le combattre ? Davantage de signalements et un partage des renseignements permettraient également d’aider les enquêtes sur les bandes de la grande criminalité organisée responsables, de façon directe ou indirecte, de la majeure partie du cybercrime.
Conseils et assistance
S’agissant des attaques par rançongiciel, de la façon de s’en prémunir et de réagir le cas échéant, les conseils disponibles ne manquent pas. Le problème réside dans le fait que bon nombre d’entreprises n’ont mis en place aucune mesure de cybersécurité de base, telles qu’une sauvegarde régulière des systèmes ou la capacité de restaurer les données. Pour elles, le risque est particulièrement élevé et une attaque par rançongiciel serait une catastrophe fatale.
Les forces de l’ordre françaises, tout comme Europol, considèrent les rançongiciels et le cybercrime comme faisant parties des menaces les plus importantes pour la sécurité de la France. Ceci est particulièrement vrai à notre époque où, grâce au RaaS (Ransomware-as-a-Service), même les personnes les plus novices sur le plan technique peuvent se procurer un « kit de rançongiciel ». Néanmoins, le message est clair : les organisations ne doivent pas payer la rançon. Cela ne fait qu’alimenter les modèles économiques de la criminalité et s’avère contre-productif dans le contexte plus large de la course aux cyberarmes.
Si nous voulons lutter efficacement contre cette épidémie, nous devons nous faire une idée plus précise de l’étendue du problème. Il est donc essentiel de sensibiliser le public aux mécanismes actuels de signalement du cybercrime afin de former et d’encourager les entreprises et les personnes à signaler toute attaque, ce qui débouchera sur une augmentation des outils et des ressources consacrés aux victimes de ces attaques.
[1] http://www.zdnet.com/article/businesses-are-still-scared-of-reporting-cyberattacks-to-the-police/
> A lire également sur Alliancy :
Quiz cybersécurité – testez vos connaissances
Dossier : La sécurité au cœur de la transformation des entreprises
Cyber-risques : s’organiser pour mieux se prémunir