Par Bénédicte Graulle, associée, Olivier Haas, associé, et Jérémy Attali, collaborateur, Jones Day

L’urgence sanitaire : un terrain favorable à la cybercriminalité

Comme à chaque crise, les cybercriminels sont aux aguets et rivalisent d’imagination pour multiplier les fraudes sur Internet et diversifier leurs modes opératoires. Le nombre de cyberattaques contre l’OMS (Organisation mondiale de la santé) a ainsi été multiplié par deux depuis le début du mois de mars. Si ce chiffre révèle que le milieu de la santé est évidemment exposé, toutes les entreprises et institutions représentent des cibles potentielles pour des organisations cybercriminelles structurées et rompues aux situations de crise.

Considérer que des systèmes de sécurité informatique résistants pourraient suffire à éradiquer le risque cyber serait une erreur ; en effet, la cybercriminalité repose le plus souvent sur l’exploitation de failles humaines. Le contexte d’anxiété inhérent à la période que nous traversons constitue ainsi un paramètre particulièrement favorable à l’explosion de cyberattaques sous de multiples formes.

Une cybercriminalité protéiforme

Dès le 20 mars dernier, le FBI alertait sur l’augmentation des fraudes liées au Covid-19. Europol publiait une communication sur le même thème le 27 mars suivant. Le 4 avril, c’était au tour d’Interpol d’annoncer la diffusion d’une «notice violette» destinée à alerter les services de police de ses 194 états membres sur l’augmentation sensible du nombre de cyberattaques. Dans chacune de leurs communications, les autorités insistent sur les différentes formes que la cybercriminalité peut emprunter.

Le ransomware (ou rançongiciel) constitue une forme de fraude informatique particulièrement utilisée en cette période de recours massif aux outils numériques. Le mode opératoire peut revêtir deux formes : dans un premier cas, les cybercriminels s’infiltrent dans le système informatique d’une entreprise, cryptent les fichiers qui s’y trouvent et exigent le paiement d’une rançon pour que la restriction soit levée ; dans le second cas, les pirates s’infiltrent dans le système informatique, soustraient des données confidentielles et menacent de les divulguer en l’absence de paiement d’une rançon. Juridiquement, cette forme de prise d’otage numérique relève de l’extorsion. Le délit d’atteinte à un système de traitement automatisé de données peut également être retenu, sans préjudice des autres qualifications qui pourraient être relevées lorsque la fraude est de nature à porter atteinte à la vie humaine.

En outre, tirant profit du contexte actuel de crainte, d’angoisse et d’urgence, les cybercriminels multiplient les escroqueries en ligne. A cet égard, l’importante hausse de la demande d’instruments de protection sanitaire représente une véritable aubaine pour les cyberescrocs. A la fin du mois de mars, l’Office central de lutte contre les atteintes à l’environnement et à la santé publique (OCLAESP) annonçait ainsi la fermeture de sept sites frauduleux de vente en ligne proposant notamment des masques, des tests de dépistage ou du gel hydroalcoolique, sans que les commandes ne soient jamais honorées.

Dans le même sens, la vente d’articles médicaux contrefaits connaît une hausse sans précédent dans un contexte de pandémie de Covid-19 et sur fond de pénurie de matériel de protection. Dans sa communication du 27 mars dernier, Europol indiquait ainsi avoir pris part à une opération policière d’envergure mondiale, ayant conduit à des saisies de plus de 4 millions de produits pharmaceutiques et dispositifs médicaux contrefaits ou non autorisés. Selon la nature des produits proposés, ces agissements pourraient être constitutifs d’infractions diverses. On retiendra par exemple, le délit de contrefaçon aggravée ou celui d’activités illégales de commerce de médicaments falsifiés.

La pratique du phishing (ou hameçonnage) est également en forte expansion depuis le début de la crise du Covid-19. Cette arnaque informatique vise à dérober les données confidentielles de la victime en lui adressant un e-mail provenant prétendument d’une entreprise de confiance (banque, assurance, site de e-commerce). Deux techniques peuvent alors être employées : dans certains cas, l’e-mail contiendra un lien qui, une fois ouvert, installera automatiquement un logiciel malveillant sur l’ordinateur de la victime aux fins d’extraire frauduleusement ses données confidentielles ; dans d’autres cas, l’e-mail contiendra un lien hypertexte qui redirigera la victime vers un site fallacieux (copie du site original de l’entreprise dont l’identité a été usurpée) sur lequel la victime s’identifiera en utilisant ses données confidentielles. Les infractions d’usurpation d’identité numérique et collecte de données à caractère personnel par un moyen frauduleux pourraient ici être reprochées aux cybercriminels.

Abus de confiance, chantage, atteinte à l’e-réputation et vol constituent également des agissements en recrudescence dans ce contexte exceptionnel. La liste des menaces liées à la cybercriminalité ne saurait être exhaustive, tant les auteurs redoublent d’ingéniosité et d’imagination. Indépendamment du type de fraude, les cybercriminels utilisent habituellement des schémas de blanchiment complexes, reposant sur l’utilisation d’identités fictives et le transfert de fonds dans des sociétés offshores.

De la nécessité d’anticiper

Au-delà des infractions pénales susceptibles d’être caractérisées, l’enjeu majeur pour les entreprises consiste à anticiper le risque afin d’apporter une réponse immédiate, structurée et coordonnée en cas de cyberattaque. A l’image des chocs précédents, la crise actuelle démontre que les entreprises ayant anticipé la survenance du risque sont les plus résilientes.

Les plans de continuité d’activité (PCA) – visant à évaluer les risques et la vulnérabilité de l’entreprise, définir les actions préalables à mettre en place pour rester sous le seuil de vulnérabilité (plan de traitement) et définir les ressources et procédures requises en période de crise pour garantir la continuité des activités (plan de survie) – revêtent alors un intérêt tout particulier. Au-delà des thématiques qui y sont traditionnellement abordées, il semble aujourd’hui impératif d’y cartographier les risques liés à la cybercriminalité. Les entreprises doivent s’informer sur les nouvelles techniques employées par les cybercriminels afin de mieux appréhender les risques qu’elles encourent en cas d’attaques (répercussions financières, fuite de secrets industriels et/ou de données personnelles, perte d’actifs incorporels stratégiques, risque réputationnel, etc.). Le niveau de risque (impact/probabilité) auquel l’entité est exposée doit être évalué précisément et des procédures spécifiques à chaque type de risque doivent être définies.

En outre, un véritable plan de réponse aux incidents informatiques (PRII) doit être élaboré afin de permettre à l’entreprise victime de réagir immédiatement et efficacement en cas de cyberattaque. Identification – en amont – des incidents potentiels, constitution d’une cellule de crise, mobilisation des ressources informatiques nécessaires, traitement des incidents réels en les contenant puis en les éradiquant, conservation de preuves, contact du prestataire de paiement ou de l’établissement bancaire intéressé, information en urgence du cabinet d’avocats, notification à la CNIL, identification des services de police compétents en vue d’un dépôt de plainte (BEFTI, OCLCTIC, etc.) : rien ne doit être laissé au hasard.

Face à la multiplication des cyberattaques, notamment en période de crise, les entreprises doivent adopter les bons réflexes, parmi lesquels la mise en place d’un PCA, la sensibilisation des salariés les plus exposés, le développement des bonnes pratiques en matière de sécurité informatique ainsi que la connaissance de l’arsenal répressif. L’anticipation n’est désormais plus une option. C’est une nécessité.