Avez-vous à la Gendarmerie Nationale constaté une augmentation des attaques informatiques ces deux derniers mois ?
L’augmentation était visible dès le début de l’année, par exemple dans le champ des rançongiciels avec une augmentation de 134% du nombre de plaintes pour le premier trimestre 2020 par rapport à l’année précédente (et globalement une hausse de 21% des faits d’atteintes aux systèmes d’information). Les mois qui ont suivi se sont poursuivis sur la même lancée, même s’il est encore trop tôt pour en tirer le bilan.
Avec quel impact et certaines cibles ont-elles été particulièrement visées ? (PME/ETI…)
Les rançongiciels par exemple touchent toutes sortes de victimes, y compris quelques structures de santé dont le rôle était essentiel pendant cette crise. Mais on constate justement que ce sont beaucoup d’entreprises petites et moyennes qui sont frappées, en métropole et en outre-mer et ce dans tous les secteurs économiques. On note aussi plusieurs collectivités locales de toutes tailles parmi les victimes.
De nombreuses entreprises ont aussi été victimes d’atteintes spécifiques à cette période de crise avec des escroqueries liées à la fourniture d’équipements de protection sanitaire (masques et gel). Mais on note aussi que dans les escroqueries plus traditionnelles (fraude au président ou au changement de RIB), la thématique de la crise épidémique était une thématique de choix pour les escrocs qui s’adaptent sans cesse au contexte ou à l’actualité.
Les victimes ont-elles davantage porté plainte qu’en temps ordinaire ?
Un de nos axes d’effort était justement de toujours permettre pendant la crise les dépôts de plainte, en particulier pour les acteurs les plus sensibles de la crise (notamment le secteur de la santé). On constate que beaucoup de victimes d’escroquerie par exemple portent plainte plusieurs semaines après les faits, ce qui est normal pour ce type de faits.
A-t-on vu émerger des nouvelles attaques ou des attaques plus complexes ?
L’exploitation des vulnérabilités potentielles liées à la mise en place d’accès distants aux réseaux des organisations, en particulier par le protocole RDP d’accès au bureau à distance, ont été souvent constatées, c’est sous l’angle technique le seul aspect spécifique à cette crise que nous ayons noté. Même si ces vulnérabilités étaient connues, elles ont été tout particulièrement ciblées, certainement avec l’intuition pour les attaquants que de nombreux accès distants ont été mis en place à la hâte au moment du confinement dans les différents pays.
Quelles sont vos actions prioritaires actuellement ?
Pendant les mois de mars à mai, nous avons mis en place un dispositif de crise, au sein duquel la dimension cyber avait toute sa place ; j’étais chargé de piloter cette dimension avec mon équipe. Les quatre grands axes de l’action étaient l’anticipation, la détection et l’investigation, la prévention mais aussi la protection de nos systèmes d’information. Pour la phase de déconfinement, et en amont de celle-ci tout au long des mois d’avril et mai, l’action de la gendarmerie sur le terrain s’est concentrée sur des mesures de prévention. Ce sont ainsi plus de 45000 entreprises et collectivités locales qui ont été conseillées pour se prémunir contre les risques les plus importants rencontrés pendant la crise et aussi ceux pour lesquels des risques sont encourus au moment de la reprise d’activité (comme les rançongiciels).
Qu’est ce que vous craignez pour la suite ? Par exemple maintenant que les gens retournent au bureau ?
Notre crainte principale est liée à la précipitation, l’envie de reprendre rapidement l’activité économique et corollairement le risque de faire des erreurs, de cliquer trop rapidement sur un lien, de ne plus avoir les réflexes d’hygiène numérique habituels.
Quelques conseils pour notre écosystème ?
Notre premier conseil envers tous les acteurs est donc celui de la prudence, de prendre le temps de bien réfléchir pour chaque action que l’on entreprend qui sort de l’ordinaire (comme un nouveau client ou un nouveau fournisseur), ou qui a un impact financier immédiat. Les quelques secondes de réflexion avant de répondre, avant de cliquer sur un lien, avant de faire un virement sont souvent celles qui nous préservent des erreurs.
Pour l’écosystème des Assises, le plus important est très certainement de reprendre le contact avec les utilisateurs finaux : apporter des conseils simples à tous les employés et à tous les clients, leur rappeler les contacts essentiels lorsqu’ils détectent un incident, et donc les accompagner dans la reprise en les rassurant, en les replaçant rapidement dans un environnement de confiance. Le second conseil est très certainement de prendre le temps de s’informer et d’observer, de ne pas replonger immédiatement le nez dans le guidon, mais avant tout de comprendre ce qui a pu changer pendant la crise, dans les architectures, les organisations, les habitudes de travail : ce sont autant d’opportunités de nouveaux risques pour les systèmes d’information. On ne peut pas repartir comme si rien ne s’était passé. Pour ce faire nous recommandions pendant la crise de tenir un journal de bord de toutes les décisions qui ont un impact sur la sécurité numérique. Si ce journal de bord n’existe pas, il faut prendre le temps de le reconstituer, de vérifier les décisions et les adaptations qui ont été nécessaires dans les systèmes d’information, peut-être refermer quelques portes. Nous avons ouvert depuis une quinzaine de jours le compte Twitter de la communauté @CyberGEND donc mon dernier conseil sera de le suivre. Vous pouvez aussi nous retrouver sur LinkedIn.
