Par Nicolas ARPAGIAN, Vice-Président du cabinet Headmind Partners, Enseignant à l’Ecole Nationale Supérieure de la Police (ENSP) et à Sciences Po Saint Germain. Auteur de « La Cybersécurité » (PUF) et « Frontières.com » (Editions de l’Observatoire).

Avec des métiers largement numérisés et fondés notamment sur la fourniture de prestations intellectuelles, ce secteur fait l’objet d’une vaste gamme de cyberattaques.

L’information à valeur ajoutée constitue une cible de choix pour les cybercriminels. Son prix et sa disponibilité en format numérisé facilitent sa monétisation, qu’il s’agisse de la rendre publique auprès de tiers ou plus simplement de la remettre à la disposition de son propriétaire légitime contre de l’argent, après l’avoir chiffré frauduleusement. L’intensification des interconnexions dans les relations économiques et administratives démultiplie les occasions d’intercepter, de détourner, de bloquer ces données qui irriguent l’activité des professions libérales. Et cela quels que soient leur taille, leur secteur d’intervention ou leur localisation géographique. D’autant qu’elles peuvent être ciblées en tant que structure à part entière, mais aussi dans la perspective d’atteindre une entité plus conséquente avec laquelle ladite profession libérale sera interconnectée. C’est l’environnement technique ou l’identité de cette dernière qui seront alors exploités par l’attaquant pour parvenir à ses fins. Puisque le but ultime du pirate peut être également l’intrusion dans le système d’information du grand groupe ou de l’Administration réellement visés.

Des atteintes à la disponibilité des données

Les professions libérales sont particulièrement exposées au risque de rançongiciels puisque les occasions d’être infectées, suite ce qui s’apparenterait à un banal échange de correspondances, sont quotidiennes. Interlocuteurs inconnus, pièce jointes accompagnant le message, nécessité de traiter les sollicitations dans des délais brefs… Autant de caractéristiques qui peuvent favoriser l’activation involontaire de charges informatiques malveillantes. Faute de pouvoir empêcher ces contaminations, il s’agit donc bien de se mettre en position de les détecter rapidement, de les empêcher de se propager et de limiter au maximum leurs effets néfastes. De plus en plus, les donneurs d’ordre demandent d’ailleurs des informations sur les moyens techniques mis en œuvre par leurs prestataires dans ce domaine. Pour s’assurer qu’ils ne constituent pas un vecteur de fragilisation de leur organisation. Une défaillance significative ou un défaut de déploiement d’une politique de sécurité opérationnelle seraient de nature à engager la responsabilité des partenaires pouvant être mis en cause en cas de dommages.

Des ressources numériques toujours recherchées

Serveurs de stockages, adresses IP, puissance de calcul informatique… les cybercriminels sont également en quête de capacités techniques pour conduire leurs opérations. Sans une supervision précise et continue des usages des actifs numériques de leur cabinet ou de leur officine, les professionnels libéraux qui ne seraient pas assez vigilants pourraient voir une partie de leur patrimoine technologique mis à leur insu à contribution pour mener à bien des interventions illégales. Outre le fait de ne pas disposer en permanence de l’intégralité de ses ressources c’est évidemment problématique d’être potentiellement associé à des actes répréhensibles. Plutôt que d’investir dans leurs propres équipements les délinquants apprécient de détourner ainsi des équipements laissés sous faible surveillance. Un mode opératoire qui compliquera d’autant la tâche des enquêteurs en cours de procédure puisque cela implique des instances dont les gestionnaires sont de bonne foi.

Des failles « Zero Day » particulièrement efficaces

Tous les équipements et suites logicielles peuvent faire l’objet de failles dites « Zero Day »1 . Il s’agit de points de faiblesse techniques tout récemment découverts, d’où leur appellation, et donc potentiellement utilisables par des pirates si ils ne sont pas corrigés rapidement par l’éditeur du programme concerné. Ce qui ouvre une course continue entre les découvreurs desdites failles, ceux qui conçoivent les correctifs et les organisations utilisatrices qui se doivent d’appliquer les mises à jour de sécurité. L’adoption de ces versions révisées fait partie intégrante d’une politique de cybersécurité pour toutes les entreprises, ce qui inclue donc évidemment les professions libérales qui ne doivent pas faire l’économie de ces déploiements.

Un capital informationnel à préserver

La réputation est assurément un actif à part entière pour les métiers de conseil. Et cela concerne tant les raisons sociales que les identités des dirigeants ou des experts qui la composent. C’est généralement la somme de ces individualités qui constitue le crédit et donc la clientèle future d’un professionnel libéral. Dans une société de l’information où la production, la circulation et l’amplification de messages sont facilitées par l’accessibilité des outils de communication, les cyberattaques concernent aussi le patrimoine informationnel. Qui peut faire l’objet d’une variété de déstabilisations qui va de l’usurpation d’identité aux campagnes de dénigrement de haute intensité. La pluralité des environnements à surveiller peut donner le tournis (plateformes de réseaux sociaux professionnels et grand public, achats de noms de domaines parasites, commentaires agressifs sur les sites marchands…) mais exige un certain investissement pour ne pas se laisser surprendre en cas d’actions offensives à votre égard. Le risque étant sinon de n’être confronté à la polémique que lorsque celle-ci a déjà pris une certaine ampleur. La rendant d’autant plus difficile à résorber.

Un sujet technique, certes, mais aussi de management

Cette rapide recension des cybermenaces a vocation à illustrer la diversité des actions qui peuvent mettre rapidement en difficulté une entreprise insuffisamment préparée en matière de détection et de remédiation des risques cyber. Cela combine la mise en pratique de solutions techniques, de procédures internes claires et connues de tous, des dispositions juridiques précises et l’implication de l’ensemble des personnels quels que soient leur grade et leur champ de responsabilité. Dès lors qu’ils sont connectés à Internet et se voient confiés des actifs numérisés.