Depuis sa création en juillet, l’agence monégasque de sécurité numérique commence à s’organiser pour remplir ses missions : prévention, détection et traitement des cyberattaques sur les systèmes d’information de la Principauté. Par Aymeric Brégoin

«Nous sommes à pied d’œuvre depuis début juillet ! », assure Dominique Riban, le nouveau visage de l’Agence monégasque de sécurité numérique (AMSN). Si cette autorité administrative spécialisée a été créée en décembre 2015 par ordonnance souveraine, elle ne commence à vivre que depuis le 5 juillet, date à laquelle Dominique Riban et Frédéric Fautrier, son adjoint, ont pris les rênes de l’AMSN. Une nouvelle agence qui se veut le fer de lance de la défense contre toutes les formes de cybercriminalité « tant contre l’État que les opérateurs d’importance vitale (OIV) de la Principauté », précise Patrice Cellario, le conseiller-ministre pour l’Intérieur. L’équivalent monégasque de l’Agence nationale de la sécurité des systèmes d’information (Anssi) en France, dont les « missions sont la protection des systèmes d’information et le traitement des incidents », précise le directeur général de l’agence de cybersécurité monégasque. Prévention, détection et réaction face aux cyberattaques « sur les systèmes d’informations de l’état monégasque, mais aussi d’autres opérateurs, tous essentiels au fonctionnement de l’état, à sa sécurité et à la vie des Monégasques », rappelle Dominique Riban.

Projet de loi

Pour l’instant, l’heure est aux préparatifs. « Depuis trois mois, on a mis en place un corpus réglementaire et des dispositifs pour la sécurité », confirme le contre-amiral expert en réseaux d’information. L’AMSN veut proposer dans les semaines qui viennent un référentiel général de sécurité, document qui liste des solutions de sécurité qualifiées pour les communications électroniques entre autorités administratives. Le duo de l’Anssi monégasque planche aussi, aux côtés de la direction des affaires juridiques et des services de l’intérieur, sur un projet de loi « qui devrait être voté prochainement ». Une loi « relative à la lutte contre la criminalité technologique » qui définit notamment les opérateurs d’importance vitale et leurs devoirs pour la sécurité de leurs systèmes d’information (lire ci-contre). « Le projet de loi a été déposé il y a quelques mois sur le bureau du Conseil national ; son examen a été mis entre parenthèses pour celui de la loi 1 430 sur la sécurité nationale votée le 6 juillet, précise Patrice Cellario. Des séances de travail avec [les élus] sont à l’ordre du jour à une très proche échéance », assure le conseiller-ministre de l’Intérieur.

« Pompiers »

À l’instar de son homologue français l’Anssi — et contrairement aux États-Unis ou à l’Angleterre —, la mission de l’AMSN est exclusivement défensive et ne compte pas tendre vers un aspect répressif. « On est des pompiers, on défend, tempère Dominique Riban. Notre rôle est d’empêcher la propagation et de l’éteindre. Si on trouve des éléments techniques, on les donne au service des enquêteurs. Ce n’est pas notre boulot de trouver les coupables. » C’est le projet de loi sur la criminalité technologique qui devrait définir les sanctions. Et il y a urgence : il est utopique de prétendre que la Principauté est à l’abri de toutes menaces numériques. « Aujourd’hui, dans le cyberespace, il n’y a pas de frontières », explique Dominique Riban, qui reconnaît qu’il est toujours très compliqué de savoir ce qu’il se passe. « À Monaco, il y a beaucoup d’activité. Il n’y a ni plus, ni moins d’attaques qu’ailleurs », répond évasivement Patrice Cellario. « Il y en a eu, il y en aura d’autres, confirme Dominique Riban. Notamment des attaques par déni de service, de cryptolockers [un cheval de Troie qui verrouille les données par chiffrement, N.D.L.R.], ou de défigurations de site. Et ça continue », interpelle le contre-amiral Riban (lire son portrait dans ce dossier).

Sondes

Si ces attaques sont très visibles, d’autres le sont moins, comme celles d’espionnage et de sabotage (lire ci-contre). « On n’en a pas vu car on n’a pas encore la possibilité de les voir », concède Dominique Riban. Pour « ouvrir les yeux » de l’AMSN, une enveloppe de 1,5 million d’euros a été débloquée pour financer l’achat de technologies de détection des cyberattaques, par exemple des sondes informatiques qui repèrent tentatives d’intrusion ou malwares, avec de l’apprentissage automatique. Du matériel que l’agence de cybersécurité monégasque doit recevoir très prochainement. « C’est une des raisons essentielles pour lesquelles l’agence a été créée : pouvoir voir ce qu’il se passe et réparer le mal derrière », confie Dominique Riban. Pour mener à bien ses missions, l’équipe de l’agence monégasque s’étoffe : les deux membres de l’équipe directrice, épaulés par une secrétaire, doivent recruter trois ingénieurs dans leurs rangs. Deux postes supplémentaires devraient s’ouvrir pour le début de l’année 2017. Selon Dominique Riban interrogé par L’Obs’ de Monaco, le budget de fonctionnement annuel tournera entre 300 000 et 400 000 euros.

Pédagogie

La tête de l’ANSM insiste surtout sur le volet prévention. « Comme l’Anssi, on fait dans le défensif, pas dans l’attaque. L’objectif est la prévention, pour que les actes malveillants ne se produisent pas », confirme Patrice Cellario. La prévention, c’est aider les entreprises, dont les OIV, en conseillant notamment les directions informatiques. Il faut « laisser les gens travailler en mesurant les risques qu’ils prennent. À nous de les aider à comprendre ces risques », estime Dominique Riban. Et ainsi de s’en prémunir. Un travail de pédagogie assez chronophage que Dominique Riban et Frédéric Fautrier ont commencé auprès de plusieurs interlocuteurs. Dont le Centre hospitalier princesse Grace (CHPG), qui a subi il y a quelques mois un piratage. De la négligence, plaide Patrice Cellario : « C’est une maison très bien sécurisée, mais la porte était ouverte. » Sauf que les pirates informatiques sont à la recherche de la moindre fenêtre entrebâillée. « La sécurité n’est pas un mur, c’est une succession d’obstacles. On ne détecte jamais tout. L’objectif est de ralentir celui qui attaque. » L’AMSN incite donc les entreprises monégasques à faire qualifier la sécurité de leurs systèmes d’information par l’Anssi.

« Guide »

Les entreprises ne sont pas les seules à pouvoir être touchées ; l’agence de cybersécurité monégasque n’oublie pas les particuliers. Elle a prévu la publication, d’ici quelques semaines sur le site des services publics de l’état monégasque, d’un certain nombre de recommandations. « Un petit guide » pour que les gens apprennent à mettre en place quelques mesures pour ne pas se faire attaquer leurs systèmes informatiques — ordinateur portable, téléphone. « C’est quelque chose de très courant », déplore Dominique Riban. Parmi ces mesures, il cite « comment choisir son mot de passe », « éviter de se faire voler son numéro de carte bleue ». Autant de sécurisations nécessaires pour ne pas se faire pirater son ordinateur sans le savoir, notamment par le biais de botnets. « Les attaquants attaquent leurs ordinateurs pour faire des attaques de façon à ce qu’ils soient dissimulés derrière, a indiqué cet expert sur Monaco Info. Pénalement, ça peut avoir des conséquences pour [les usagers]. Il faut donc les aider à s’en parer. » Le tout de manière relativement simple, et sans technique.

Les opérateurs d’importance vitale listés

Le binôme directeur de l’agence de cybersécurité monégasque travaille actuellement à définir quels sont les opérateurs d’importance vitale (OIV) en Principauté. En France, les OIV sont « les organisations qui ont trait à la production et la distribution de biens ou de services indispensables à la population », mais aussi celles qui présentent des activités dangereuses, notamment en termes de défense de la sécurité nationale. On peut citer par exemple les télécommunications, les réseaux de distribution d’eau et d’électricité, les hôpitaux, les services de l’État… Autant d’installations contre lesquelles des cyberattaques pourraient avoir des conséquences dramatiques pour la population ou le territoire. À Monaco, si la liste n’est pas encore établie, on peut fortement présumer que la Société monégasque de l’électricité et du gaz (Smeg), Monaco Telecom ou le Centre hospitalier princesse Grace (CHPG) y figureront. Et la Société des bains de mer (SBM) ? « Une entreprise qui est l’un des plus gros employeurs privés du pays, vous imaginez ? », répond laconiquement Patrice Cellario. Quoi qu’il en soit, le projet de loi sur la cybercriminalité est clair : les OIV sont tenus d’établir un plan de protection face aux menaces numériques et de réaliser, à leur frais, les travaux prévus. Et tout manquement peut entraîner une amende de 150 000 euros. A.B.

De la défense, pas de surveillance

« Nous ne sommes pas la NSA ! », prévient Dominique Riban. Sur Monaco Info, le numéro 1 de l’Agence monégasque de sécurité numérique a tenu à rassurer : « Nos missions ne sont pas de l’espionnage. Nous ne sommes pas une agence de renseignement. » La cyberagence est focalisée sur la défense de système d’information essentiellement pour l’État et les opérateurs d’importance vitale (OIV). « On n’ira jamais regarder ce que font les gens chez eux, […] ce n’est pas dans nos missions et ça ne présente pour nous aucun intérêt. » Et l’expert de préciser : « Il y a un organisme qui s’appelle la CCIN [Commission de contrôle des informations nominatives, N.D.L.R.] qui est chargée de protéger les données personnelles. » A.B.

Des menaces de quatre ordres

Pour Dominique Riban, il faut distinguer les différentes menaces. « En Cybersécurité, elles sont de quatre ordres », explique-t-il. La cybercriminalité, qui comporte les arnaques à la carte bleue ou au président. « On fait croire à la secrétaire du président qu’il faut rapidement faire un versement sur tel compte car il est en difficulté. C’est bien évidemment un faux compte », a expliqué le numéro 1 de l’AMSN sur Monaco Info. En octobre 2013 et juin 2014, sur 46 tentatives d’escroquerie de ce type en Principauté, 3 ont abouti. Pour des « virements souvent compris entre 400 000 et 1 million d’euros », a précisé le département de l’Intérieur. Les attaques d’atteinte à l’image empêchent les entreprises ou organismes de travailler, notamment par déni de service. « L’entreprise est branchée à Internet par un tuyau d’une certaine dimension. Si on y met plus de choses que prévu, le tuyau explose. C’est de la plomberie », compare Dominique Riban. Ce qui rend dans l’impossibilité de se connecter les personnes qui doivent légitimement le faire. Ou par défiguration de site : le pirate remplace des éléments graphiques ou textuels d’un site par les siens : messages de propagande ou revendications. Les entreprises peuvent aussi faire face à de l’espionnage, avec « des attaquants qui se glissent dans des systèmes d’informations pour voler du savoir-faire et des données, soit pour les revendre, soit pour faire une concurrence déloyale. Ça peut avoir des conséquences évidemment graves », regrette le contre-amiral Riban. Dernier type d’attaques, le sabotage. « L’exemple le plus flagrant et le plus connu est l’attaque de TV5 Monde en avril 2015 », illustre-t-il. Quatre types de cyberattaques que l’AMSN est censée prévenir… et la loi sur la criminalité technologique punir. A.B.

Criminalité technologique : la contre-attaque en marche

Pour lutter contre la criminalité technologique, un projet de loi est actuellement à l’étude au Conseil national. Monaco Hebdo détaille les mesures phares du texte. Par Sabrina Bonarrigo

Nouvelles infractions dans le code pénal

Il aura fallu attendre longtemps… Mais la lutte contre la cybercriminalité est enfin en marche à Monaco. Pour le gouvernement, cette cyberbataille est même devenue « un véritable enjeu de souveraineté ». Pour combattre ces nouvelles formes de criminalité, l’exécutif a décidé de mettre les bouchées doubles en créant, d’une part, une agence monégasque de sécurité numérique (AMSN), et en modernisant, d’autre part, l’arsenal juridique existant, forcément inadapté à ces nouvelles menaces technologiques. Désormais, l’ensemble des infractions pénales commises sur les réseaux, dont Internet, sont recensées dans un projet de loi actuellement étudié par le Conseil national et dont le vote devrait intervenir au cours de la session d’automne. Très concrètement, le piratage informatique, l’espionnage industriel, le défacement de sites web, les fraudes à la carte bancaire, les décryptages de mots de passe, l’usurpation d’identité numérique, l’incitation à la haine, ou encore les atteintes à l’e-réputation auront, grâce à ce texte, leur propre qualification pénale et des sanctions en conséquence. Le projet de loi a même prévu de punir de un à cinq ans de prison les « menaces d’assassinat, d’empoisonnement et de meurtre » proférées « via un système d’information. » S.B.

Blocage des téléphones portables volés

Il contient tout un tas d’informations personnelles, et des données parfois sensibles… C’est pourquoi, en cas de perte ou de vol d’un téléphone portable, le gouvernement a prévu dans son projet de loi d’imposer aux opérateurs téléphoniques toute une procédure pour que le mobile soit « rendu inutilisable ». Une fois que les opérateurs sont informés du vol — par le biais d’une déclaration officielle de vol, à savoir, un dépôt de plainte de l’usager — ces derniers sont tenus de bloquer, dans un délai de 4 jours ouvrés, « l’accès au réseau de radiocommunication et aux services qu’ils proposent. » Objectif affiché : « Apporter une solution efficace au problème de la vente de téléphones portables ayant été dérobés, notamment à l’étranger. » A noter toutefois qu’en cas d’absence de dépôt de plainte, l’opérateur ne pourra procéder qu’au blocage de la carte SIM. S.B.

Intrusion irrégulière

Si le projet de loi est voté par les élus du Conseil national, le droit pénal monégasque pourra sanctionner « l’intrusion irrégulière » dans un système d’information, mais aussi « la modification des données informatiques qui les accompagne. » Le texte précise en effet que « quiconque aura, frauduleusement, introduit, endommagé, effacé, détérioré, modifié, altéré, supprimé, extrait, détenu, reproduit, transmis ou rendu inaccessible des données informatiques ou agi frauduleusement de manière à modifier ou à supprimer leur mode de traitement ou de transmission » sera puni d’un emprisonnement de cinq ans et d’une amende. Un intitulé suffisamment générique pour que, par exemple, « le décryptage du mot de passe », « l’insertion d’un mot de passe préalablement obtenu de manière illicite », ou encore « l’introduction d’un virus tel que le cheval de Troie », soient également sanctionnés. S.B.

Usurpation d’identité

C’est une infraction très fréquente commise sur le web que le gouvernement a décidé de sanctionner dans son projet de loi : l’usurpation d’identité. Ce délit consiste à utiliser, sans votre accord, des informations — nom, prénom, adresse électronique, photographies — pour souscrire à votre insu, un crédit, un abonnement, ou nuire à votre réputation. « Quiconque aura sciemment usurpé l’identité d’un tiers, en vue de troubler sa tranquillité ou celle d’autrui, de porter atteinte à son honneur ou à sa réputation, ou de l’utiliser pour en tirer un profit quelconque », sera ainsi puni d’un emprisonnement de six mois à trois ans et d’une amende. S.B.

Fraude à la carte bleue

Pour lutter contre la fraude et la contrefaçon des moyens de paiement « autres que les espèces », le projet de loi a prévu de sanctionner de cinq ans d’emprisonnement « le vol, l’obtention illégale, la contrefaçon ou la falsification », des cartes de crédit, mais aussi des lettres de change et des chèques de voyage. S.B.

La France, 9^ème pays le plus touché par la cybercriminalité

Pour la première fois depuis cinq ans, la France est dans le top 10 des pays où la cybercriminalité est la plus active. Selon un rapport publié en avril dernier par l’éditeur de logiciels Symantec, la France serait en effet le neuvième pays le plus touché. Les trois premières places étant occupées par la Chine, les États-Unis et l’Inde. La France est également le quatrième pays le plus concerné par les arnaques sur les réseaux sociaux. Symantec en a comptabilisé 300 000 l’année dernière. Sur Facebook, la plus répandue est le phishing. Une technique qui consiste à demander de l’argent à un ami en feignant d’être bloqué à l’étranger. Symantec a également identifié que les petites et moyennes entreprises (PME) sont celles qui subissent le plus d’attaques : 57 %, contre 29 % pour les entreprises de plus de 1 500 employés. Mais la hausse la plus impressionnante concerne les « ransomwares » (les « rançongiciels » en français). Cette attaque qui consiste à prendre en otage les données d’un utilisateur contre le paiement d’une rançon, a augmenté de 35 % dans le monde en 2015… et de 260 % en France ! S.B.

Criminalité technologique : les chiffres monégasques

La Principauté n’est pas épargnée par la criminalité technologique. Monaco Hebdo dévoile les cas signalisés à la Sûreté publique sur les années 2013, 2014 et 2015. Par Sabrina Bonarrigo

C’est une criminalité, qui par définition, n’a pas de frontières, et qui touche bien sûr la Principauté. Piratages de site Internet, abus de confiance, falsification de cartes bancaires ou escroqueries au président… Tous ces cybercrimes, touchant aussi bien des particuliers que des entreprises, ont été signalés à la Sûreté publique. A Monaco, comme « dans de nombreux pays européens », c’est la « recrudescence », des escroqueries dites « au président » qui a longtemps inquiété la police monégasque. Le département de l’Intérieur précise en effet qu’entre octobre 2013 et juin 2014, 46 escroqueries et tentatives d’escroquerie au président, ont été commises à l’encontre d’entreprises monégasques. Au total, 23 ont fait l’objet d’un dépôt de plainte. Parmi ces 46 tentatives d’escroquerie, 3 ont atteint leur but et engendré « d’importants préjudices financiers. » Pas étonnant, puisque dans ce type d’escroquerie, les virements demandés sont en général colossaux : « Le plus souvent entre 400 000 euros et 1 000 000 d’euros, précise le département de l’Intérieur. Les entreprises victimes subissent ainsi un préjudice du même ordre, voir supérieur, lorsque plusieurs virement sont effectués. »

Usurpation

La police monégasque précise toutefois que ce type d’escroquerie ne peut pas être directement qualifié de cyber-attaque. L’usage « de système informatique » n’est en effet pas systématique. L’escroc peut tout à fait passer un simple appel téléphonique usurpant l’identité du patron de l’entreprise. « Les escrocs emploient dans ces cas un modus operandi inédit, à savoir qu’ils utilisent des identifiants proches des dirigeants des entreprises visées, et/ou se font passer pour le directeur de ladite entreprise, explique la Sûreté publique. Ils ordonnent ainsi — insistant sur une urgence, et un niveau de confidentialité élevé — des virements pour des montants toujours très importants, sur des comptes ouverts à l’étranger. » Selon la police, « bon nombre » de ces tentatives d’escroqueries, n’aboutissent heureusement plus à Monaco. Notamment grâce à des mesures de prévention mises en place par la direction de la Sûreté publique et l’Association monégasque des activités Financières (AMAF). « Etant mieux informées, les entreprises sont plus méfiantes. Et la réactivité des salariés est plus importante. » Autre phénomène constaté : de plus en plus d’infractions classiques sont désormais facilitées par l’outil informatique. Ainsi, par exemple, sur les 104 escroqueries et abus de confiance signalés à la police monégasque en 2015, 14 ont été commis via internet… Quant aux usages frauduleux de cartes bancaires ou aux détournements de numéros de cartes, à Monaco, les cas signalés à la police ont connu une baisse importante : de 88 cas en 2013, à 7 en 2015. Cette baisse est liée au fait que les victimes peuvent désormais directement se rapprocher de leurs agences bancaires, sur la base d’une déclaration sur l’honneur. « De ce fait, la direction de la Sûreté publique est moins amenée à constater ce genre de délits. Pour autant, rien ne permet d’indiquer que ce phénomène soit en régression… », conclut la police monégasque.

Un contre-amiral à la barre

Dominique Riban a débarqué à bord de l’agence monégasque de cybersécurité, qu’il dirige depuis juillet. Après une carrière à la Marine nationale, cet expert des réseaux d’information a passé quatre ans comme directeur adjoint de l’agence française de sécurité des systèmes d’information. Par Aymeric Brégoin

C’était « une opportunité à ne pas rater ». Le contre-amiral français Dominique Riban a quitté ses fonctions de numéro deux de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Direction la Principauté, où cet ingénieur issu de l’École navale a pris les rênes, le 5 juillet, de l’Agence monégasque de sécurité numérique (AMSM), créée en décembre 2015. Avec cet expert des réseaux d’information, la Principauté donne vie à son agence chargée de prévenir et réagir aux cyberattaques. « Dans un premier temps, je vais me servir de l’héritage que j’ai dans les valises et m’appuyer sur les qualifications de l’Anssi », explique ce diplômé de Télécom ParisTech.

Bras droit

Depuis le 1^er juillet 2012, Dominique Riban secondait Guillaume Poupard à l’Anssi. « Un gars formidable, qui m’a accueilli de façon extraordinaire [en mars 2014] », se souvient le directeur général de l’agence française. Il était chargé d’assurer la détection, l’alerte et la réaction aux attaques informatiques, notamment avec une surveillance permanente des réseaux sensibles et la mise en œuvre de mécanismes de défense adaptés. Quatre ans et quatre jours plus tard, l’ancien bras droit de l’Anssi doit transposer ces missions aux spécificités du territoire monégasque. L’occasion « inédite au cours de sa longue carrière » de « construire quelque chose à sa main et à celle de Monaco ».

Défense

Une longue carrière majoritairement militaire. Le contre-amiral a alterné des postes opérationnels dans la Marine avec des postes techniques dans le domaine des systèmes d’information et de communications, notamment à bord de bâtiments. C’est auprès de la Direction interarmées des réseaux d’infrastructures et des systèmes d’information de la défense (Dirisi) qu’il a exercé à quatre reprises des fonctions de commandement et de management. En 2010, il a été nommé chargé de mission de la stratégie auprès du directeur général des systèmes d’information et de communication du ministère de la Défense, deux ans après avoir pris le commandement de zones maritimes du sud de l’océan Indien.

À deux, c’est mieux

C’est en duo que se dirigera l’agence monégasque de sécurité numérique (AMSM). Dans ses missions, Dominique Riban est secondé par un local de l’étape : Frédéric Fautrier, qui a travaillé pendant plus de vingt ans dans les télécommunications. « Le choix ne s’est pas porté sur un directeur, mais sur un tandem », confirme Patrice Cellario, le ministre de l’Intérieur. Le numéro 1 « a fait carrière dans l’armée, gage de compétence et d’expérience ». Son adjoint « connaît de manière fine la Principauté ». Les deux ont passé leur carrière à travailler sur ces problématiques de sécurité. Une complémentarité qui, selon le conseiller de gouvernement, a permis à la direction « d’être rapidement opérationnelle ». A.B.

Neuf raisons de s’inquiéter

Face aux cyberattaques, que risquent vraiment les organismes d’importance vitale, c’est-à-dire les structures indispensables au fonctionnement d’un Etat ? C’est la question que Monaco Hebdo a posé à un expert. Par Raphaël Brun

Difficile de définir avec précision ce que sont les organismes d’importance vitale (OIV). Car pour chaque Etat, la définition peut différer au gré des intérêts et des préoccupations de chaque gouvernement. Mais à Monaco, on peut estimer que Monaco Telecom ou le centre hospitalier Princesse Grace (CHPG) sont des OIV. Voici en tout cas les 9 types d’attaques informatiques dont peuvent être victimes ces OIV, détaillées par un spécialiste.

1^er type d’attaque : l’attaque par déni de service

« L’attaque par déni de service est un grand classique du cyber-crime. L’opération consiste à inonder un serveur de requêtes jusqu’à la paralysie, ce qui entraîne inévitablement une impossibilité pour les clients légitimes de s’y connecter. En Estonie, en 2007, des assaillants ont utilisé des dizaines de milliers de PC zombies. Ces machines infectées malicieusement sont pilotées à distance et chargées de transmettre, à leur insu, les requêtes vers le serveur visé. La densité était telle que les experts ont enregistré un trafic illégitime allant jusqu’à 5 000 clics par seconde sur certains sites ciblés. Ce genre d’attaque a eu lieu en Estonie en 2007 et peut être ciblée ou non. Plus récemment, c’est l’hébergeur OVH qui a été victime du plus gros déni de service de l’histoire, avec un débit supérieur au térabit par seconde. Il est à noter que l’attaque contre OVH qui a eu lieu en septembre 2016, a été majoritairement provoquée par des objets connectés, par exemple des caméras, qui sont des proies faciles pour les cyber attaquants. Plus de 150 000 objets connectés ont ainsi servi à réaliser cette attaque, dont plus de 6 800 étaient des caméras. Voilà pourquoi à l’intérieur d’un pays et en particulier un petit pays, il peut être important d’identifier les machines, les objets connectés ou les ordinateurs qui servent de « zombies » c’est à dire de machines relais, et qui peuvent servir à attaquer à distance différentes structures. Des demandes de rançon peuvent également être demandées en échange de l’arrêt de l’attaque. Un groupe spécialisé s’est fait arrêter l’an passé en Croatie : DDOS4Bitcoin. »

2^ème type d’attaque : les ransomwares

« Ce type d’attaque peut toucher aussi bien les OIV, et les structures gouvernementales que les petites entreprises ou les particuliers. Il s’agit en général de liens piégés ou de documents de travail (Excel, Word, Powerpoint…) qui contiennent des macros qui vont s’exécuter et chiffrer le contenu du disque dur et des serveurs réseau accessible depuis l’ordinateur de la victime. Les pirates demandent en général de l’argent pour déchiffrer les données. Et de préférence dans une monnaie virtuelle, comme des bitcoins. Il est important de ne jamais payer. Ce genre d’attaque montre l’importance d’avoir des sauvegardes fiables. Les derniers crypto locker chiffrent même les sauvegardes donc il est important de toujours faire des essais de restauration pour être sur de la qualité de sa sauvegarde. Les antivirus détectent peu ou mal ce genre d’attaque. Du coup, une politique de sécurité au niveau d’une entreprise ou d’un service expliquant pourquoi il ne faut pas ouvrir les macros est nécessaire. »

3^ème type d’attaque : le piratage de données/messagerie électronique

« Il s’agit par exemple du piratage d’une boite mail ou du piratage de données. Ce type d’attaque peut toucher également n’importe quelle structure, OIV ou pas. Il est donc important d’anticiper les risques en mettant en place des systèmes de protection et de détection d’intrusion. Le dernier exemple « people » est le vol de données de Pippa Middleton qui s’est fait dérober 3 000 photos privées qu’elle stockait sur internet. Pour arriver à leurs fins les pirates peuvent utiliser du phishing c’est-à-dire l’envoi de courriels piégés demandant les informations de connexion de la personne. Ils peuvent aussi s’engouffrer dans des failles sur le site internet de la structure visée. Il peuvent aussi capturer les informations de carte bancaire et faire des achats à votre insu. Exemple : faux mail Apple, faux mail PayPal… »

4^ème type d’attaque : le sextorsion

« Après des rencontres virtuelles sur des sites dédiés ou suite à un enregistrement de vidéo intime, des pirates demandent une rançon en échange de la suppression de la vidéo qu’ils ont mise en ligne. En général les pirates préviennent aussi les contacts de la victime de la mise en ligne de la vidéo, ce qui augmente considérablement les dégâts psychologiques que ce genre d’attaque peut faire. Ce type d’attaque est en général privé et ne touche pas les entreprises, ou uniquement les cadres dirigeants. »

5^ème type d’attaque : le racket (grâce à une intrusion préalable)

« Certains groupes de hacker s’introduisent frauduleusement dans le système d’information de manière furtive et volent des informations. Par la suite ils demandent une rançon en échange de la non diffusion de ces données. Un groupe de pirates nommé Rex Mundi procède de la sorte. En juin 2014, l’entreprise Domino Pizza a refusé de verser 30 000 euros aux cyberpirates de Rex Mundi. »

6^ème type d’attaque : l’arnaque au PDG

« Des groupes de pirates ciblent des structures communicant essentiellement par mail, dont le principal dirigeant s’absente et dont l’agenda peut être connu via un simple coup de téléphone à son assistante par exemple. Un courriel avec une identité usurpée cible alors le service comptable ou la personne responsable des virements en demandant un virement urgent. Avec, en appui, un homme de loi virtuel, un notaire ou un avocat par exemple, pour lancer une transaction confidentielle et immédiate. La signature du virement est faite par le groupe de pirate qui a trouvé préalablement une copie de la signature du dirigeant de la structure sur un autre document. Par exemple sur la charte quelconque de la structure ou sur des documents hébergés sur le site de la structure visée. Ce genre d’attaque ciblée peut toucher n’importe quelle organisation et peut avoir de lourdes conséquences. Les dernières attaques concernent carrément un ministre : en juin 2016, des pirates ont essayé de se faire passer pour Jean-Yves Le Drian, le ministre de la défense français. La fraude au PDG a coûté 1,6 million d’euros à Michelin en 2014. »

7^ème type d’attaque : les attaques hacktivistes

« Ce genre d’attaque a des conséquences dramatiques pour l’image de marque des structures ou des personnes touchées. Les exemples récents sont bien sûr les Panama Papers ou encore les Bahamas Leaks. Des structures financent un groupe d’attaquants pour soutirer des informations sur des sociétés offshore. Par exemple, le consortium international des journalistes d’investigation (ICIJ) avec les Bahamas Leaks, en septembre dernier. »

8^ème type d’attaque : les attaques ciblées et persistantes

« Ce sont les attaques qui font le plus de dégâts. Elles sont furtives au départ, mais elles peuvent ensuite causer des dommages considérables, comme l’attaque dont a été victime TV5 en avril 2015. Il s’agit en général de groupes d’attaquants financés soit par des Etats, soit par des structures mafieuses. Les compétences nécessaires à ce genre d’attaque sont nombreuses, même si, au départ, ce sont des méthodes classiques d’intrusion qui sont utilisées, mais pas forcement détectées. Elles sont furtives et ont pour but le vol d’informations sensibles. En France, l’entreprise Areva a subi ce genre d’attaque en septembre 2011, ce qui a occasionné beaucoup de dégâts. »

9^ème type d’attaque : l’atteinte à l’image de marque

« On appelle aussi ce type d’attaque défacement de site internet. Cette attaque consiste à changer la page d’accueil du site internet de la structure et à le remplacer par une page liée au groupe de pirates. Il n’y a pas de vol de données et c’est souvent liée à une vulnérabilité du site internet de la structure. »