La cybercriminalité semble progressivement s’imposer comme l’un des principaux défis auxquels sont confrontées les sociétés modernes, en raison de la place prédominante que les nouvelles technologies y occupent¹. Des attaques protéiformes et évolutives, ciblant les particuliers comme les entreprises et les administrations, se multiplient et la crise sanitaire actuelle ne fait qu’accélérer le phénomène.

Dans le cadre du plan France Relance, un budget de 136 millions d’euros a été alloué à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour renforcer la cybersécurité de l’Etat et des territoires sur la période 2021-2022. L’objectif est « d’élever durablement le niveau de cybersécurité de l’Etat, des collectivités, des établissements de santé et des organisations au service des citoyens, tout en développant le tissu industriel français de cybersécurité »².

Dans le monde professionnel, le nomadisme numérique et le télétravail, en développement constant depuis de nombreuses années, se sont imposés comme une nécessité dans le contexte pandémique actuel. Aubaine pour les hackers et autres cybercriminels, ils peuvent exposer les systèmes d’information des entreprises à des risques numériques accrus, aussi bien en termes de probabilité d’occurrence que de criticité.

Une prise de conscience des cyberrisques développés par le télétravail

Comme l’a souligné le Groupement d’intérêt public action contre la cybermalveillance dans ses « Recommandations de sécurité informatique pour le télétravail en situation de crise »³, au regard du premier confinement, pour beaucoup d’entreprises, la mise en place du télétravail a dû se faire dans l’urgence, souvent à distance, avec des collaborateurs confinés et sans réelle maîtrise des mesures de sécurité nécessaires pour protéger de manière satisfaisante le système d’information de l’entreprise. Dans certains cas, faute de moyens nécessaires, le télétravail est même effectué depuis les équipements personnels des collaborateurs, dont le niveau de sécurité ne peut pas être évalué précisément et encore moins garanti. En outre, l’effacement de la frontière entre l’univers professionnel et l’univers personnel a pu entraîner une baisse de vigilance numérique et des comportements à risque pour la cybersécurité des entreprises, comme l’utilisation du poste de l’entreprise pour des activités personnelles plus exposées aux risques.

C’est dans ce contexte propice aux incidents de sécurité, qu’est survenue une recrudescence notable des cyberattaques. Durant l’année 2020, la plateforme Cybermalveillance.gouv.fr, qui a pour missions d’assister les victimes de cyberattaques, de les informer des menaces et des moyens de s’en protéger, a connu une forte hausse de sa fréquentation (+155 % par rapport à 2019). Les attaques par déni de service (DDoS), ayant pour but de rendre indisponible un service ou d’empêcher les utilisateurs légitimes de l’utiliser, auraient augmenté de plus de 150 % au cours du premier semestre de l’année 2020, selon un rapport de la société Neustar⁴. Pour donner un autre exemple, un quart des collaborateurs en télétravail ont été plus exposés aux menaces comme le phishing, les spams ou autres e-mails frauduleux, selon une étude du cabinet Deloitte⁵.

Prévenir et gérer les actes malveillants

Cette situation est le catalyseur d’une prise de conscience des dirigeants d’entreprise de la nécessité de prévenir ou de minimiser davantage l’impact des cyberrisques au sein de leurs entreprises. Cela peut être fait, en autres, par la mise en place d’outils de résilience favorisant la continuité ou la reprise d’activité après une attaque, le renforcement des mesures de prévention (politiques de sécurité internes, des formations spécifiques des utilisateurs, etc.) et des mesures de protection techniques (antivirus, pare-feu et autres outils de surveillance et de sécurité informatique conformes à l’état de l’art, mesures de chiffrement, etc.) ou la souscription à une police d’assurance spécifique.

Dans la mise en place de ces mesures, les entreprises peuvent notamment se référer au guide de l’ANSSI sur le nomadisme numérique⁶ qui présente des recommandations en matière de sécurisation des accès distants au système d’information de l’entreprise, de confidentialité et d’intégrité des données et d’authentification des utilisateurs. L’objectif est de « réussir à tendre vers un niveau de sécurité le plus proche possible de celui du SI interne de l’entité, en répondant aux risques d’exposition plus forts » inhérents au nomadisme numérique.

Un rapport d’information relatif à la cybersécurité des entreprises, remis au Sénat le 10 juin 2021, propose également un certain nombre de réponses afin de mieux aider les TPE et les PME à faire face à la cybercriminalité. Pour mettre la cybersécurité à la portée de toutes les sociétés, renforcer leur hygiène numérique et leur cyberrésilience, ce texte formule 22 propositions, articulées autour de trois axes : tester et renforcer la résistance et la cyberrésilience des entreprises ; alerter, conseiller et former sur le péril cyber ; protéger les entreprises de taille intermédiaire, moyenne et petite par des outils et des gestes barrières adaptés⁷.

En cas d’attaque informatique, il convient, outre la mise en œuvre des mesures techniques, d’informer sans délai son assureur, le cas échéant, et de procéder au dépôt d’une plainte auprès de la police ou de la gendarmerie ou directement par courrier adressé au procureur de la République par la victime ou son avocat. Bien souvent, les infractions relèveront du droit pénal commun (escroquerie, faux et usage de faux, usurpation d’identité, etc.). Certaines infractions spécifiques peuvent être toutefois constituées, par exemple l’accès ou le maintien frauduleux dans un système de traitement automatisé de données, réprimé par l’article 323-1 du Code pénal.

En outre, il est important de garder à l’esprit qu’une cyberattaque peut entraîner une violation de données à caractère personnel. Celle-ci est définie par l’article 4 du Règlement UE 2016/679 du 27 avril 2016 Règlement général sur la protection des données personnelles (RGPD), comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ». En pareil cas, il peut être nécessaire de procéder à une notification à la Commission nationale de l’informatique et des libertés (Cnil) dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, conformément à l’article 33 du RGPD. En outre, si une telle violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, une communication à la personne concernée dans les meilleurs délais s’avère également nécessaire.

L’urgence qui s’impose alors rend d’autant plus critique, a fortiori par temps de Covid-19, le manque d’anticipation de ces mesures techniques et organisationnelles, mais aussi juridiques. Là encore, et comme pour la gestion de la crise sanitaire, mieux vaut prévenir que guérir.

1. Statistiques et menaces numériques, Comment les organisations de sécurité quantifient la cybercriminalité, Anne-Marie Côté, Maxime Bérubé, Benoit Dupont ; Réseaux 2016/3-4 (n° 197-198)

2. www.ssi.gouv.fr/actualite/france-relance-et-cybersecurite-proteger-letat-et-les-collectivites-territoriales/

3. www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/recommandations-securite-informatique-teletravail

4. https ://www.home.neustar/about-us/news-room/press-releases/2020/ddos-attacks-increase-by-151-in-first-half-of-2020

5. www2.deloitte.com/ch/en/pages/risk/articles/covid-19-cyber-crime-working-from-home.html

6. www.ssi.gouv.fr/uploads/2018/10/guide_nomadisme_anssi_pa_054_v1.pdf

7. www.vie-publique.fr/en-bref/280574-cybersecurite-des-entreprises-mieux-proteger-les-tpe-pme