La cybercriminalité en Belgique se porte bien, merci pour elle. Très bien, même. En témoigne la fuite de données de clients de Belfius (entre autres), annoncée ce lundi, quand bien même la fuite émanerait, comme cela semble se préciser, d’un call center étranger à la banque. En témoignent, aussi, les chiffres consultés par Le Soir relatifs au premier semestre de l’année – les chiffres de l’ensemble de l’exercice 2022 ne seront disponibles qu’en 2023. Que disent-ils ? De début janvier à fin juin 2022, les forces de l’ordre ont ainsi été avisées de l’existence de 50.087 délits « comportant un élément ICT/Online » (ce qui correspond à un spectre très large de faits allant du hacking à la production de faux en informatique, en passant par le sabotage). De janvier à décembre 2021, on en avait comptabilisé 92.763 en tout.
Sur cette même première moitié de l’année écoulée, 23.858 infractions de « fraude informatique » (ce qui est déjà plus précis) ont été enregistrées dans les bases de données policières. A titre d’information, c’est déjà 3.500 faits de plus que sur l’ensemble des douze mois de l’année 2018. Sauf baisse de régime exceptionnelle entre juillet et décembre dernier, le record annuel de 39.716 faits de fraude informatique enregistrés en 2021 sera sans difficulté dépassé, et même sans doute assez largement. Quant aux faits de hacking (le hacking représentant l’acte de pénétrer illégalement dans un système informatique), la police en a comptabilisé 2.626 lors du premier semestre de 2022. C’est autant que sur l’ensemble de l’année 2017. Le nombre de faits spécifiquement enregistrés en tant que ransomware – les utilisateurs n’ont plus accès à leurs fichiers personnels ou à leur système avant d’avoir payé une rançon – dans la banque de données statistiques est comparativement bien plus faible. Au total, 76 faits ont été inscrits entre janvier et fin juin 2022, ce qui reste dans la tendance de l’année précédente (159 faits sur douze mois). Du reste, il existe quelques moyens (simples) pour se prémunir de telles attaques. Parmi ceux-ci, l’utilisation d’une carte prépayée pour les achats en ligne. En cas de fuite de données, pas de problème pour la victime, la carte étant vide. Olivier Bogaert, commissaire à la Computer crime unit, recommande par ailleurs d’utiliser trois adresses mail : « Une pour les achats, une pour les réseaux sociaux et une personnelle, ça limite les risques. » Enfin, les antivirus, régulièrement mis à jour et aussi puissants que possible, sont indispensables à une navigation sûre et sont préconisés par les experts du secteur.
La cybercriminalité pour l’année 2022 battra certainement des records
Rien que sur la première moitié de l’année, les chiffres de la « fraude informatique » et de « hacking » affichaient déjà une tendance à la hausse. Communes, hôpitaux et même zones de police ne sont définitivement plus à l’abri.
L’annonce relative à une fuite potentiellement massive de données qui concernerait entre autres des clients de Belfius – quand bien même cette fuite émanerait, comme cela semble se préciser, d’un call center étranger à la banque – serat- elle la dernière mauvaise nouvelle de l’année en matière de sécurité informatique ? Au rythme où vont les choses, cela n’est pas dit. Car 2022 a été marquée par une activité cybercriminelle très soutenue, visant par ailleurs des cibles toujours plus importantes, notamment dans notre pays.
Un premier semestre détonant
D’abord, il y a les chiffres. Que disentils ? Le rapport annuel du Centre pour la cybersécurité de Belgique (CCB) sur le sujet ne paraîtra qu’en janvier et les statistiques policières complètes relatives à l’année écoulée ne seront publiées que l’été prochain. Mais à en croire les données relatives au premier semestre 2022, déjà accessibles sur le site de la police fédérale, la criminalité en ligne semble se porter mieux que jamais. De début janvier à fin juin 2022, les forces de l’ordre ont ainsi été avisées de l’existence de 50.087 délits « comportant un élément ICT/Online » (ce qui correspond à un spectre très large de faits allant du hacking à la production de faux en informatique, en passant par le « sabotage »). Comparativement, de janvier à décembre 2021, on en avait comptabilisé 92.763 en tout, ce qui laisse déjà imaginer un nouveau bilan annuel en hausse. Sur cette même première moitié de l’année écoulée, 23.858 infractions de « fraude informatique » (ce qui est déjà plus précis), ont été enregistrées dans les bases de données policières. A titre d’information, c’est déjà 3.500 faits de plus (!) que sur l’ensemble des douze mois de l’année 2018. Sauf baisse de régime exceptionnelle entre juillet et décembre dernier, le record annuel de 39.716 faits (enregistré en 2021) sera sans difficulté dépassé, et même sans doute assez largement.
Quant aux faits de hacking (l’acte de pénétrer illégalement dans un système informatique), la police en a comptabilisé 2.626 lors du 1er semestre de 2022. C’est autant que sur l’ensemble de l’année 2017. Par contre, le nombre de faits spécifiquement enregistrés en tant que ransomware dans la banque de données statistiques demeure comparativement faible. Au total, 76 attaques de ce type ont été encodées entre janvier et fin juin 2022, ce qui reste dans la tendance de l’année précédente (159 faits).
De Vivalia à la police
Pourtant, on le sait, les plus impressionnantes attaques informatiques dont ont fait l’objet des sociétés et institutions belges cette année relèvent de cette modalité – consistant à s’introduire dans une structure informatique, à la paralyser en chiffrant ses données, puis à réclamer une rançon en échange du code de décryptage, ou pire, de la non-divulgation de celles-ci sur le net. Un mode opératoire qui pousse parfois les victimes à ne pas s’adresser à la police, ce qui peut conduire à un phénomène de sous-rapportage. Cela fait près d’un mois que la ville d’Anvers se débat ainsi avec les conséquences de ce qui pourrait être l’une des pires attaques menée dans notre pays. Play, organisation active dans le domaine, a initialement publié sur son site web un ultimatum menaçant de rendre accessibles plus de 557 gigabytes de données subtilisées dans les serveurs (paralysés) de l’administration.
Mais quelques jours avant le terme de cet ultimatum, la menace a subitement été retirée du site en question. Certains experts estiment en conséquence qu’une rançon a pu être payée ou du moins être négociée, bien que le bourgmestre Bart De Wever (NVA) ait catégoriquement nié cela.
Cinq sociétés belges mises à nu
Au printemps dernier, c’était l’intercommunale luxembourgeoise Vivalia qui faisait les frais d’une attaque revendiquée par le groupe Lockbit, connu en Belgique francophone pour avoir précédemment publié sur son site des données dérobées au barreau de Charleroi. Là aussi, pour le groupe hospitalier, le décompte annonçant la publication imminente du butin volé avait soudainement disparu du site avant la fin de l’ultimatum. Coup de chance pour l’organisation et ses patients ? Au final, l’intercommunale est restée très évasive sur le sujet. A l’issue d’une présentation de ses comptes annuels le 20 décembre dernier, elle a par contre affirmé que le coût de l’attaque s’était chiffré pour elle à un million d’euros – budgets de fonctionnement et d’investissement compris. Lockbit aura fait souffrir d’autres sociétés belges cette année. Sur sa plateforme accessible via le darknet sont ainsi exposées les données d’au moins cinq victimes basées dans notre pays, peut affirmer Le Soir. On retrouve parmi elles une auto-école de Flandre occidentale, un cabinet d’avocats et un cabinet comptable limbourgeois, l’administration d’une commune de Flandre orientale ou encore une société de matériaux. Dans certains cas, des informations sensibles liées à des clients sont rendues publiques. Mais c’est sans doute, à ce stade, sans commune mesure avec les données de la zone de police de Zwijndrecht (Anvers) qui ont été publiées sur le site web de Ragnar, autre organisation opérant selon le même mode. Dans un échantillon divulgué par le groupe criminel, on retrouve ainsi des courriers envoyés à la zone de police par la Sûreté de l’Etat. On le comprend, aucun type d’institution ou presque ne semble à l’abri face à ce que Christophe Axen, chef de service adjoint de la Regional Computer Crime Unit au sein de la police judiciaire liégeoise, décrit comme un système en perfectionnement constant. « Si l’on devait tirer une conclusion de cette année, c’est que les organisations criminelles se spécialisent encore davantage et qu’on n’a plus forcément affaire à des petites attaques à l’aveugle, mais à des choses nettement plus préparées, plus structurées en amont afin d’obtenir un maximum d’informations sur la cible » dit-il. « On a aussi pu constater que de nombreuses sociétés visées n’étaient pas prêtes à faire face à ce genre d’attaques et qu’il faut encore davantage taper sur le clou. »
Face à la difficulté de pouvoir s’assurer contre la cybercriminalité, les entreprises s’organisent entre elles
es entreprises peinent de plus en plus à s’assurer contre le risque cybercriminel. La fréquence des sinistres et les dommages potentiels sont devenus à ce point élevés que les assureurs deviennent extrêmement frileux. Les primes et les franchises s’envolent, les couvertures se réduisent… La situation est telle que certaines entreprises ont même renoncé à s’assurer. Dans le Financial Times, Mario Greco, le patron de Zurich, l’un des plus grands assureurs européens, estimait ce lundi que le risque cyber allait devenir « inassurable » et plaidait pour la mise en place de schémas public-privé pour gérer les cyber-risques systémiques sur le modèle de ce qui existe pour les tremblements de terre ou les attaques terroristes. Dans un entretien au Soir le mois dernier, la patronne d’AG Insurance, Heidi Delobelle, reconnaissait également « n’avoir pas encore trouvé de solutions pour véritablement aider les victimes de ce type de criminalité ». Face aux manquements du marché, douze grandes sociétés européennes – les groupes chimiques belge et allemand Solvay et BASF, le géant de l’aéronautique Airbus, le fabricant de pneus Michelin, le groupe de services à l’environnement Veolia – ont décidé de prendre les choses en main et de s’associer. Elles ont créé leur propre compagnie d’assurances destinée à couvrir leurs risques cyber. Miris – c’est son nom – est basée en Belgique et a décroché le 20 décembre sa licence auprès de la Banque nationale. Elle débute son activité ce 1er janvier sous statut de mutuelle. Chaque entreprise a injecté un montant équivalent de capital pour pouvoir bénéficier de la couverture. « L’idée a germé il y a un plus d’un an lors de rencontres entre directeurs des assurances de grands groupes européens », explique Sonia Cambier, directrice des assurances chez Solvay et présidente du conseil d’administration de Miris. « Face aux lacunes du marché, on s’est dit : “Pourquoi ne pas créer une mutuelle qui fournirait à ses membres les capacités d’assurance dont ils ont besoin ?” L’idée n’est pas de remplacer les assureurs traditionnels, mais de veniren complément de ceux-ci. Miris offre une couverture allant jusqu’à 25 millions pour chacun de ses membres. »
La prévention est centrale
Solvay ne trouvait plus son compte avec ce que le marché pouvait lui offrir. « Il y a pas mal d’assureurs actifs dans le domaine de la cybersécurité, mais leur capacité s’est restreinte », explique Sonia Cambier. « Ils limitent leur exposition à de petits montants : 5, 10 millions. On doit faire appel à beaucoup d’assureurs pour atteindre les 150 millions de couverture que l’on s’était fixés. On veut aujourd’hui aller au-delà et on ne trouve plus les capacités sur le marché. » Elle constate un durcissement de ce marché avec un nombre croissant d’exclusions dans les contrats – comme le paiement de rançons – et une envolée « exponentielle » des primes, évoquant des hausses « allant jusqu’à 200 % en trois, quatre ans ». Elle n’incrimine pas les assureurs. « La fréquence des sinistres est devenue tellement élevée… C’est normal. Ce sont des sociétés commerciales. Et puis, c’est aussi un risque qui est difficile à évaluer. » Mais pourquoi Miris obtiendrait-elle des meilleurs résultats que les acteurs traditionnels du marché de l’assurance ? « Parce que la prévention est au coeur de son modèle », répond Sonia Cambier. Miris ne veut pas seulement être une compagnie d’assurances mais aussi un endroit où ses membres vont échanger leurs bonnes pratiques, leurs expériences dans la prévention du risque… L’objectif est de définir des standards en matière de protection contre les attaques communs à tous les membres de Miris. Les entreprises qui voudront rejoindre par la suite « ce club » devront respecter ces standards de qualité pour être admis. En gérant mieux les risques, Miris espère afficher un taux de sinistralité beaucoup plus bas que la moyenne du marché. Miris n’est pas un cas isolé. Le géant français de la publicité, Publicis, vient de créer sa propre société de réassurance captive destinée à l’aider à couvrir une partie de ses risques cyber et de responsabilité civile, en relais des assureurs.
Quelques conseils pour éviter les cyberattaques
Olivier Bogaert, commissaire à la Computer Crime Unit, conseille de « vérifier les autorisations de ses applications » : « Sur Facebook, il y a des droits d’accès aux micros, aux informations des autres applications, il faut les désactiver. » Pour les achats en ligne, la carte de crédit prépayée possède tous les avantages, d’après lui : « Elle permet de mettre soi-même de l’argent dessus. Si ses données sont fuitées, pas de souci, il n’y a pas de sous dessus. Je conseille de créer une adresse mail dédiée aux achats, une autre pour ses réseaux sociaux et une troisième personnelle, ça limite les risques. » Concernant les SMS ou mails louches, il faut vérifier les adresses URL des liens ainsi que l’identité de l’expéditeur : « Avec l’usurpation d’identité, un hacker peut se faire passer pour un proche et vous envoyer un lien qui fera entrer un virus dans votre système. » Le Centre pour la cybersécurité de Belgique conseille l’utilisation d’un antivirus et de l’utiliser régulièrement. Pour Olivier Dolbrechts, manager chez Mister Genius, il faut un antivirus puissant, ils le sont de plus en plus. Il conseille les EDR (pour Endpoint detection and response), qui vérifient en temps réel les activités et qui peuvent identifier très vite les suspectes. Il préconise aussi les sauvegardes : « Il faut toujours avoir un back-up, un cloud, deux si possible. » Les gestionnaires de mots de passe, qui en génèrent de très robustes et qui les gèrent ensuite, ont aussi sa bénédiction
Source: Le Soir