CISO

La cyberfraude est avant tout une fraude, commise par un canal numérique

Share this post:

Il n’existe pas, en France, de définition juridique de la cyber fraude : pour le législateur, il s’agit d’une escroquerie –qui est, elle, définie pénalement – commise via un canal digital. Faut-il y voir un oubli ou un manquement dans la loi ? Bien au contraire ! C’est plutôt un rappel essentiel qu’une fraude reste une fraude, quels que soient les moyens utilisés.

La loi désigne par le terme de « fraude » tous les actes de tromperie accomplis par ruse et par mauvaise foi dans le but d’obtenir un avantage. À la lumière de cette définition, des techniques modernes telles que le phishing ou l’usurpation d’identité numérique sont, de fait, des fraudes. Leur particularité est d’être commises via un canal numérique – d’où leur appellation de «cyberfraude». Dès lors, il est légitime de se poser la question : faut-il se protéger contre la fraude ou contre le risque informatique ?

La question peut surprendre, mais elle est pourtant essentielle. Car comprendre la finalité d’une attaque doit faire partie intégrante de la politique de sécurité informatique des entreprises. En d’autres termes, il ne faut pas se concentrer uniquement sur « comment cette attaque pourrait-elle avoir lieu», mais aussi sur « pourquoi ».

 

Connaître la fin permet d’anticiper les moyens

Dans l’édition 2020 de son benchmark des incidents de cybersécurité, le cabinet Wavestone dresse le bilan d’une soixantaine de cyberattaques subies par des organisations françaises entre septembre 2019 et août 2020. L’analyse des incidents confirme que la première motivation des cybercriminels est financière : 45% des attaques étudiées visaient à obtenir de l’argent, par chantage (menace de divulgation) ou par le versement d’une rançon (ransomware).

Ces activités frauduleuses sont prises très au sérieux par les autorités publiques. La plateforme cybermalveillance.gouv.fr, créée en 2017 par le groupement d’intérêt public Action contre la Cyber malveillance (GIP ACYMA), aide les particuliers et les entreprises à connaître la nature des différentes menaces et à s’en protéger. Cependant, cette plateforme gouvernementale se focalise sur les moyens mis en œuvre par les attaquants : phishing, usurpation d’identité, ingénierie sociale, etc. Elle préconise des réponses adaptées, mais se concentre surtout sur l’aspect technique ou «cyber». Elle laisse ainsi de côté l’autre aspect essentiel de la fraude : son mobile.

Wavestone met également en exergue le fait que le vol de données à d’autres fins que directement financières, par exemple leur exploitation frauduleuse ou leur détournement, représente encore 30% des attaques analysées. Pire: pour 82% d’entre elles, le mobile n’a pu être clairement identifié. C’est une zone d’ombre colossale, quand on sait que seule une vision globale de ce qui peut pousser un malfaiteur à s’en prendre à une entreprise, permettra de décider de la meilleure stratégie de protection.

 

«Connais-toi toi-même»

Pour obtenir cette vision globale du risque, l’entreprise doit faire son introspection. En matière de cybersécurité, c’est l’information qui compte, et non le support. L’objectif doit être de rendre l’attaque lisible pour l’ensemble de l’organisation.En cela, la méthodologie et les outils d’investigation visuelle sont essentiels pour contextualiser les risques et comprendre les tenants et les aboutissants d’une éventuelle attaque.

Les outils d’analyse visuelle moderne peuvent aider à cartographier ces risques, à visualiser les réseaux connectés, à analyser les réseaux sociaux, à afficher des vues géospatiales ou temporelles qui mettent en évidence les connexions et les modes opératoires cachés dans les données, etc.

Article paru dans Silicon

 

Consultant investigation IBM Europe

More CISO stories
4 mai 2021

Les femmes leaders en Intelligence Artificielle

Le pourcentage de femmes dans les postes de direction a reculé par rapport à 2019. En Intelligence Artificielle, elles représentent seulement 26% des effectifs. Et pourtant, il est reconnu que l’inclusion et l’égalité des sexes génèrent de meilleurs résultats pour les entreprises. « L’efficacité de la mixité est prouvée et nos entreprises en sont convaincues » rappelle Patricia […]

Continue reading

8 avril 2021

Sécurité informatique : la victoire aime la préparation

Le président américain Dwight Eisenhower, l’un des artisans incontestés de la victoire alliée pendant la Seconde Guerre mondiale, soulignait qu’« aucune bataille n’est jamais remportée en suivant le plan, mais aucune bataille n’est jamais remportée sans en avoir un ». Lee Morrison, instructeur de sports de combat médiatisé, résume : « l’attaquant a par définition toujours un […]

Continue reading

6 avril 2021

La sécurité silencieuse, garante de l’expérience utilisateur

Les impératifs de sécurité et d’expérience utilisateur sont parfois difficiles à concilier. Cependant, le recours à une protection silencieuse, telle celle apportée par l’approche ZeroTrust, permet de maximiser le niveau de sécurité, tout en préservant –voire en améliorant – l’expérience utilisateur. Le rôle d’un RSSI (Responsable de la Sécurité des Systèmes d’Information) est de protéger […]

Continue reading