La cybercriminalité est une industrie florissante dont les revenus équivaudraient, selon les estimations les plus prudentes, au PIB d’un pays comme la Russie. Bien loin de l’image du hacker en sweatshirt, cette discipline s’est largement professionnalisée, et les frontières entre mondes légitime et criminel sont devenues plus floues. Par Loïc Guézo.

Aujourd’hui, les revenus de la cybercriminalité dépassent souvent ceux d’entreprises légitimes, même si leur structure reste assimilable. Les opérations frauduleuses de type « PME » vont générer en moyenne des bénéfices compris entre 30 000 et 50 000 euros ; là où des cyberattaques d’envergure de type « multinationale » peuvent générer près d’un milliard d’euros. Si les chiffres sont toujours impressionnants, ils ne montrent pour le moment malheureusement pas de signe de déclin…


 

Comment en est-on arrivé là ?


La cybercriminalité est une conséquence imprévue du développement d’Internet. L’idée originelle était de connecter tous les individus et ordinateurs de la planète grâce à une même technologie. Mais Internet a été conçu sans l’hypothèse que des individus malveillants pourraient profiter de cette opportunité technologique. Sachant que tout est connecté via le même protocole de réseau, les cybercriminels n’ont jamais été aussi proches de nous.

L’autre problème est que les cybercriminels sont devenus de véritables hommes d’affaires, alors que la majorité des entreprises ne les voient pas sous ce jour. Or pour pouvoir se défendre, il est nécessaire de comprendre l’étendue de la menace. Ces dernières années, les entreprises cybercriminelles ont pris plus de l’ampleur et se mondialisent plus rapidement que des entreprises légitimes. Il est intéressant de comprendre cette évolution.

Les organisations cybercriminelles se sont développées en suivant les mêmes modèles économiques que le monde des affaires. Le monde criminel a grandi en cochant toutes les caractéristiques d’une économie capitaliste identifiées par Adam Smith il y a 300 ans. Les cybercriminels cherchent à innover et à se développer avec le temps, comme une entreprise prospère. Ils doivent trouver leur place sur le marché, tirer parti des tendances et passer du temps à bien comprendre le fonctionnement des entreprises ciblées afin d’exploiter leurs faiblesses et en tirer profit.

Comme dans notre économie, la notion de spécialisation est clé. De nombreuses organisations cybercriminelles ont tendance à se concentrer sur une activité pour exceller dans cette discipline. Mettre au point un malware particulièrement efficace ou proposer un botnet en location au plus offrant ont par exemple fait le succès de certains. Mais quand les prix de programmes malveillants devenus trop courants baissent sur le marché du darknet, les cybercriminels doivent de nouveau trouver d’autres moyens de se différencier.

La verticalité des plus grandes organisations cybercriminelles est également fascinante. A l’image de multinationales, ces organisations se structurent en « business units », avec des départements définis pour chaque activité liée au crime : un département dédié à la recherche de cibles sur les réseaux sociaux, un autre à la création d’emails de phishing, un autre faisant office de centre d’appels, un autre encore un pôle d’infographistes et même un département de recrutement !

De telles structures ont par exemple récemment été identifiées au Nigéria. Ces organisations sont parvenues à infiltrer des comptes de messagerie et à générer d’importants revenus financiers en se basant sur des techniques avancées d’ingénierie sociale, incitant à effectuer des virements

électroniques. Un piège d’envergure bien ficelé, (très) loin de la fameuse “arnaque nigériane”, une attaque de type spam qui fleurit dans les boîtes email depuis toujours, mettant en scène un prince exotique qui offre régulièrement un pourcentage de sa fortune immense si vous l’aidez à la sortir de son pays, demandant au passage une avance négligeable au regard de l’héritage colossal en vue.

Cet exemple nigérian est un exemple classique de la spécialisation et de la division du travail qui ont permis à de telles organisations de se développer. En associant la connectivité et l’accès facilité à la technologie, il est aisé de comprendre comment la cybercriminalité a pu évoluer aussi rapidement dans sa propre économie mondiale.

 

Comprendre l’économie de la cybercriminalité est crucial

Les cybercriminels étudient de près les processus des entreprises légitimes, d’une part pour faire évoluer leurs propres processus, et d’autre part pour identifier les principales faiblesses à exploiter. Si les cybercriminels cherchent à comprendre le fonctionnement de votre entreprise pour vous piéger, il semble logique en retour de s’intéresser à leurs pratiques pour pouvoir contrer efficacement leurs attaques.

Les cybermenaces les plus efficaces et les plus dommageables actuellement ne sont pas les failles d’exploitation sophistiquées de type ‘zero day’ développées par un brillant esprit isolé quelque part dans le monde. Si cela suffisait pour mettre à bas une entreprise ou un pays, nous n’en serions pas là aujourd’hui. Même les organisations cybercriminelles les moins avancées technologiquement peuvent être très efficaces pour extorquer de l’argent à de grandes entreprises qui disposent pourtant de moyens de défense techniques. Pourquoi ? Parce qu’elles savent cibler les individus, par le biais de l’ingénierie sociale ou d’emails de phishing parfaitement exécutés. La professionnalisation et les attaques centrées sur l’humain ont abouti à une grande asymétrie entre la manière dont les cybercriminels attaquent et la manière dont les entreprises pensent se défendre.

La cybersécurité est toujours considérée comme une discipline technique, l’accent étant mis sur la protection du périmètre extérieur du réseau de l’entreprise, plutôt que sur la protection des collaborateurs réellement ciblées. Or plus de 99% des cyberattaques nécessitent une action humaine pour se propager (activer une macro, télécharger une pièce-jointe ou cliquer sur lien par exemple). Au regard de chiffres mis en lumière par le FBI, il semble que les entreprises aient encore bien des difficultés à comprendre cette asymétrie : plus de 23 milliards d’euros ont été volés par des cybercriminels depuis 2016, suite à la compromission d’emails centrés sur les individus.

Pour se défendre contre les menaces, les entreprises doivent avoir conscience de ce « facteur humain ». Apprendre à identifier qui sont les cibles au sein de leur structure et comment ces personnes sont approchées. Ensuite seulement, il est possible de mettre en œuvre des mesures de sécurité appropriées, centrées sur l’humain, pour protéger les individus et l’entreprise. En comprenant véritablement l’ennemi et les menaces, les entreprises qui mettent en place les bonnes défenses peuvent non seulement protéger leur réputation, mais aussi jouer un rôle crucial dans la lutte contre cette vague de criminalité au niveau mondial.

 

<<< A lire également : Cyberharcèlement : Comment Lutter Efficacement Contre Ce Fléau Digital ? >>>

 

Par Loïc Guézo, Directeur Stratégie Cybersécurité SEMEA chez Proofpoint