Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 390

des technologies sont les plus
touchés, avec un coût par employé
plus élevé pour les organismes de
petite taille : 2 834 €, contre 324 €
pour les autres. Les cyberattaques 32
représentent plus de 45% des coûts
de la cybercriminalité. Le temps
moyen de maîtrise d'une attaque
est de 43 jours, pour un coût moyen
de 561 533 € ; chiffre en croissance
de 200% par rapport à l'édition
2013 du rapport.
L'attaque par rançongiciel33 est en
seconde place, parmi les attaques
les plus répandues en France.
La victime n'a pas d'autre moyen
que de payer la rançon pour
retrouver ses données décryptées,
tandis que ce paiement ne fait
qu’encourager les affaires de
cybercriminels et le financement
de R&D pour développer des
programmes
malveillants
de
plus en plus sophistiqués et les
offrir sur les marchés criminels.
Elle prend également de risque
de payer, sans avoir l'assurance
de recouvrer ses données, et ainsi
d'être une seconde fois victime.
Les faux ordres de virement
international34 représentent un
montant supérieur à 300 M€ pour
700 tentatives, avec des pertes
allant de 72 000 € à 17 M€, au vu
des plaintes déposées en France
sur 4 ans. A titre d'exemple, sur un
total de 2,6 M€ de tentatives, plus
de 650 000 € ont été réalisés, en
8 jours seulement avec 12 actions
menées par le même individu.
Pour une TPE, une telle atteinte à
la trésorerie pourrait être fatale.
Sur les conséquences négatives
des cyberattaques
Si les victimes de cyberattaques
n'ont pas toujours la capacité d'en
supporter les coûts directs, ils ont
également à faire face à d'autres
conséquences négatives liées à
la remise en ordre de la situation.
Il s'agit de surcoûts en rapport
avec les personnels et heures
supplémentaires, les experts et
consultants externes à engager,
les mesures techniques de sécurité
à mettre en place dans l'urgence,
après l'attaque.

390

A ceci, viennent s'ajouter les
changements organisationnels, la
réparation des dommages causés
aux
systèmes,
infrastructures,
logiciels et données, la perte
de revenus et de clientèle, et
en complément, les efforts pour
maintenir la relation avec la
clientèle.
D'autres conséquences sont en
rapport avec la responsabilité
pour les montants ou les données
volées lors de l'attaque, et pour
les dommages causés à des tiers,
notamment
pour
non-respect
des
obligations
légales
ou
contractuelles. L'ensemble peut
conduire à des litiges portés
en
justice
et
compromettre
la réputation et l'image de
l'organisme,
et
entamer
la
confiance des clients comme des
partenaires.
Enfin, au vu des options possibles
et de la diversité des résultats
produits, les techniques et outils
avancés d'attaque peuvent engendrer un conflit avec d'autres
parties en délivrant des leurres.

CONCLUSION ET
PERSPECTIVE
Non seulement les cyberattaques
sont à éviter35 et à combattre, mais
elles doivent être étudiées pour
en connaître les caractéristiques
essentielles. La question relève
aussi des possibilités de réaction et
de la crise sous-jacente à laquelle
elles conduisent. Il reste que les
organismes ont des difficultés à
appréhender de telles attaques,
malgré les efforts consentis, le plus
souvent en corrigeant des symptômes et en se limitant au plan
technique.
Il existe des déficits chroniques et
des causes plus profondes. Leur
caractère pathologique est en
rapport avec la faiblesse intrinsèque des systèmes et des objets
connectés et la résilience des organismes pour assurer la continuité
des activités en cas de sinistre ou
de crise, suite à une cyberattaque.
Leur caractère éthologique relève

EXPERTISES NOVEMBRE 2015

de comportements qui peuvent
être observés comme prompts aux
cyberattaques.
A l'évidence, la sécurité est insuffisante tandis qu'une cyberattaque
est quasi-certaine pour tous, sans
savoir ni où elle se portera, ni
quand elle aura lieu. Le pire, c'est
lorsqu'elle a lieu à l'insu de l'entreprise, elle est alors discrète et
souvent persistante.
On peut seulement imaginer pourquoi, lorsqu'elle vise les actifs
vitaux et sensibles : finances, informations, savoir-faire, ressources,
etc. Comment ?
C'est ce qui a été présenté en
caractérisant pleinement les cyberattaques, selon un catalogue
structuré et la dynamique de leur
processus par étapes, formant un
modèle utile à la compréhension
des entreprises, des spécialistes
de la sécurité comme des enquêteurs, notamment pour la détection
précoce d'indices pour stopper
l'attaque et entamer une action
judiciaire.
Au contraire des propos d'André
Gide 36 : « Qu'est-ce que vous allez
chercher là-bas ? J'attends d'être
là-bas pour le savoir », les organismes devraient d'ores et déjà
s'inquiéter de ce phénomène, pour
l'éviter par des mesures en profondeur de sensibilisation, de prévention et de détection, et d'autres, de
protection pour résister à la crise
et s'assurer du retour à une situation normale, en s'appuyant sur un
plan de reprise d'activité (PRA). Il
reste pour chacun d'être vigilant
et de suivre les procédures indiquées dans le guide des bonnes
pratiques de sécurité adopté par
les personnels.
Au-delà, en considérant l'évolution
de la sophistication et des divers
impacts, malgré l'absence de
statistiques fiables, il faut observer
que la lutte contre la cybercriminalité en général et contre les cyberattaques en particulier, est fortement
attendue au niveau international et
européen, tout en développant une
politique nationale volontariste



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407

Couverture
Sommaire
MAGAZINE - TISA TAFTA TPP MENACES SUR LES DONNÉES PERSONNELLES ?
INTERVIEW - NICOLAS HÉLÈNON ASSUREUR CYBERISQUE
DOCTRINE
JURISPRUDENCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - MAGAZINE - TISA TAFTA TPP MENACES SUR LES DONNÉES PERSONNELLES ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 370
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 371
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 372
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 373
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 374
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 375
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 376
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - INTERVIEW - NICOLAS HÉLÈNON ASSUREUR CYBERISQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 378
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 379
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 380
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 381
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - DOCTRINE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 383
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 384
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 385
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 386
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 387
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 388
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 389
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 390
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 391
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 392
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 393
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 394
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 395
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 396
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 397
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 398
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 399
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - JURISPRUDENCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 401
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 402
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 403
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 404
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 405
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Novembre 2015 - n°407 - 406
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com