CyberÉdito

La période étant propice aux rétrospectives, le CLUSIF a présenté le 14 janvier 2016 son 15e panorama sur la cybercriminalité.
L’année 2015 a été riche en évènements en tout genre :

  • en marge des attentas de janvier 2015, 1550 dégradations de sites et attaques DDoS en 10 jours et aucune en novembre ;
  • une propagation ciblée en France du malware Dridex, mais sans grande ampleur ;
  • l’attaque de TV5 Monde où l’on constate pour la première fois une volonté claire de détruire l’entreprise ;
  • plus d’un million d’empreintes digitales dérobées dans l’affaire OPM aux États-Unis ;
  • la divulgation des données personnelles des abonnés d’Ashley Madison, avec une conséquence finalement inattendue en France puisque le nombre d’abonnements aurait augmenté !
  • enfin, les risques liés à l’usage des IoT bien que les attaques restent à ce jour à l’état de preuve de concept : la possibilité de
  • prendre la main à distance sur une voiture, sur une lunette de visée d’arme militaire ou sur des équipements médicaux.

Aucun système n’est épargné, mais on ne note finalement pas de grandes innovations, en dehors de l’ampleur des attaques. On assiste
toutefois à une professionnalisation de la menace illustrée en 2015 par le marché des 0-day : un million d’euros pour des failles sur iOS 9, la levée de fonds de 25 millions d’euros par une place de marché de bug bounty (HackerOne) et le développement de grossistes spécialisés tels que Zerodium (ex Vupen). Il y a tout de même de bonnes nouvelles : les OIV (français) n’ont pas (encore) subi d’attaques aux conséquences dramatiques que l’on peut imaginer. La France a-t-elle réagi à temps ou est-ce l’attaquant qui n’a pas encore les moyens ?

À la lumière de ces éléments, il parait hasardeux de faire des projections sur ce qui nous attend en 2016. Seule certitude : un renforcement de la loi est à prévoir. Le facteur de risque pourrait donc provenir du législateur. Désormais, en 2016, le défi est de préparer le SI face aux risques liés au nouveau Data Privacy Shield, aux sanctions d’un million d’euros susceptibles de peser sur les contrevenants à la LPM ou encore à celles prévues pour les entreprises qui ne respecteraient pas le règlement européen sur les données à caractère personnel, jusqu’à 4% du CA. Ces évolutions nécessiteront des transformations des SI parfois significatives, dans un climat de forte pression économique.

Jean Olive
Responsable des activités Sécurité chez CGI Business Consulting