Lutte aux criminels cybernétiques

Les escrocs informatiques peuvent causer d'énormes dommages, dévaliser des banques et voler des secrets industriels : certains d'entre eux sont peut-être même déjà à l'oeuvre dans vos bureaux. Ron Condon indique la façon dont les entreprises peuvent se protéger contre ces nouveaux crimes.

De nos jours, l'exploitation d'un système informatique comporte des risques. En effet, si on songe aux virus, aux pirates informatiques et au personnel qui télécharge des images de goût douteux d'Internet, on est presque porté à renoncer à ce système et à revenir à la méthode papier.

On ne peut toutefois pas revenir en arrière. De fait, les systèmes d'information sont devenus indispensables au commerce : si on s'en débarrasse, on peut aussi bien mettre la clé dans la porte.

Alors, que peut-on faire au sujet des virus, des pirates et des documents indécents? La première chose à faire consiste à comprendre toutes les facettes de ce qu'on appelle le "crime cybernétique".

D'après Richard Boothroyd, conseiller principal en matière de sécurité chez ICL, notre perception des dangers doit être revue. "Bien des gens croient que les voyous informatiques sont des écoliers de 13 ans qui se servent d'une trousse de virus! La réalité est toute autre : il peut aussi bien s'agir d'escrocs d'Europe de l'Est faisant partie d'organisations criminelles", a-t-il précisé.

Il a indiqué que des organisations criminelles ont déjà tenté à maintes reprises de soutirer des fonds des banques de l'occident. Mais, pour des raisons évidentes, on ne peut pas savoir si leurs coups ont réussi. Ces développements sont révélateurs de la menace croissante et de toutes parts pour les systèmes informatiques. Par exemple, les premiers virus informatiques ne visaient souvent qu'à perturber les systèmes sans causer de tort réel; il s'agissait pratiquement d'un jeu. Aujourd'hui, ils sont plutôt destinés à éliminer des fichiers et à provoquer des dommages graves et à long terme aux malheureuses victimes.

Les attaques contre les sites Web d'entreprises, visant l'interruption du service, sont également de plus en plus fréquentes et dévastatrices. En pareil cas, un pirate ou un groupe de pirates bombarde un site Web de messages au point où le site s'effondre sous le fardeau imposé. Pour les sociétés dont les activités se font en bonne partie par voie électronique, ces attaques peuvent être catastrophiques. Par ailleurs, l'espionnage industriel cause de plus en plus de problèmes : les criminels tentent dans ce cas de voler ou, ce qui est tout aussi dommageable, d'altérer l'information dont leurs victimes disposent.

Les sociétés doivent se défendre contre ces attaques, qui peuvent aussi se présenter sous de nombreuses autres formes, et les armes technologiques vont de toute évidence jouer un rôle dans cette lutte. Mais, selon Richard Boothroyd, la technologie ne devrait constituer qu'un élément d'une stratégie de sécurité beaucoup plus vaste et entièrement appuyée par la haute direction.

Il a précisé : "Je parle alors de sécurité en profondeur. Il s'agit de protéger tous les aspects de l'entreprise. C'est une nouvelle façon d'envisager la sécurité pour tous les membres de l'organisation."

"Il faut d'abord convaincre les dirigeants de la société que la sécurité est importante, car la contravention des lois en vigueur peut donner lieu à des poursuites. Lorsque les cadres auront pris connaissance du nombre de lois qui portent sur l'informatique, ils se montreront intéressés", d'ajouter M. Boothroyd.

L'étape suivante consiste à assurer l'application et la mise à jour constante de la politique. Par exemple, il est essentiel de mettre à jour régulièrement les programmes antivirus et d'installer les correctifs logiciels. "Les atteintes les plus courantes à la sécurité surviennent parce que les entreprises ne mettent pas à jour leurs correctifs techniques, poursuit M. Boothroyd. Elles estiment avoir mis en place une forteresse à jamais imprenable. Mais si celle-ci n'est pas actualisée, un problème connu peut permettre à quelqu'un de pénétrer à l'intérieur de la forteresse."

D'où provient la menace?

Bien que les chiffres réels soient difficiles à établir, la plupart des spécialistes conviennent que la plus grande menace pour la sécurité provient non pas de l'extérieur, mais plutôt de l'intérieur des entreprises. Il peut s'agir de l'envoi par le personnel de documents diffamatoires ou indécents à l'aide du système de courriel interne (pour lesquels les dirigeants de la société peuvent être tenus responsables) ou encore d'une fraude à grande échelle ou d'espionnage industriel.

La seule façon de contrer cette menace, d'après Richard Boothroyd, consiste à établir une culture axée sur la sécurité et une politique de sécurité comportant des vérifications et des contremesures.

"En fait, 90 pour 100 de la sécurité a tout simplement trait au bon sens, affirme M. Boothroyd. Il peut s'agir simplement, par exemple, de vérifier l'identité des personnes avant de les laisser entrer. L'habit ne fait pas le moine : une personne vêtue d'un uniforme blanc et ayant en main une ventouse n'est pas nécessairement un plombier!"

"Il ne faut faire confiance à personne et il ne faut rien faire à moins d'avoir établi l'identité de la personne et ce qu'elle compte faire. Les sociétés très sûres répartissent en général les fonctions afin d'assurer une contre-vérification. Le directeur de la sécurité de la TI ne peut rien faire seul : une autre personne doit vérifier son travail. Tout doit être vérifié et contre-vérifié dans l'ensemble de l'entreprise."

Définition du crime cybernétique

L'expression "crime cybernétique" englobe les activités criminelles se rapportant à l'usage à mauvais escient des systèmes de données et des systèmes vocaux. Le crime peut être perpétré depuis l'extérieur de la société ou à l'interne, par des particuliers comme par des groupes de criminels.

Pour de plus amples renseignements (en anglais) sur le crime cybernétique :

Questions internationales : Crime cybernétique
La coalition critique vertement le traité sur le crime cybernétique
Traité mondial sur le crime cybernétique