Cyberattaque : la chasse à la data est-elle ouverte ? Retour sur le webinaire de l'Acsel

Emilie Autin
Rédigé par Emilie Autin
05 juillet 2021 - 6 minutes

En 2020, la menace constituée par les ransomwares a explosé : plus 300% en un an. C’est sur ce chiffre choc que s’est ouvert le webinaire organisé par l’ACSEL le 30 juin sur la chasse à la data. Plusieurs acteurs du milieu ont pu prendre la parole autour des nouveaux enjeux entourant ces données si sensibles. Au programme, des éclairages précieux de la part de quatre experts sur ce milieu obscur poussé par les événements sous le feu des projecteurs, et sur lequel le secteur assurance ne peut plus fermer les yeux.

Un terrain fertile pour le cybercrime

Source : Baromètre CESIN 2021

L’explosion du cybercrime en 2020 est souvent attribuée à un unique fautif : le télétravail. Cependant, tout n’est pas aussi simple. Comme l’explique Yosra Barbier, le télétravail massif et soudain a fragilisé les systèmes informatiques des entreprises. Les écosystèmes sur lesquels repose le travail à distance n’étaient pas prêts à recevoir cette masse de demandes et de connexions. Avec des systèmes fragiles, des mauvais choix techniques, et des employés non sensibilisés aux risques cybers, la menace a trouvé un terrain fertile.

Quand on pense aux cyberattaques, on pense souvent aux rançonnages de grandes entreprises. Ce sont ces événements qui font la une des médias spécialisés. Récemment, Fujifilm, JBS ou encore Colonial Pipeline ont été la cible de ces logiciels malveillants, avec des demandes de rançons faramineuses atteignant plusieurs millions de dollars. Mais dans les faits, la plupart des victimes de ces attaques sont de plus petites structures. Pensez plutôt à des TPE ou des PME, des mairies ou encore des hôpitaux.

Être un acteur malveillant, un travail à temps plein

Laissez aussi tomber l’image désuète du hacker que vous avez en tête. Les acteurs malveillants ne travaillent pas tous de nuit dans des petits bureaux exigus. Ils ne veulent pas tous s’infiltrer dans les serveurs de la CIA pour faire tomber Washington et entraîner dans sa chute tout le système financier. Les acteurs malveillants ne travaillent pas non plus seuls, sans jamais vouloir savoir ce qui se passe dans le monde extérieur.

Aujourd’hui, être un acteur malveillant, c’est être un vrai professionnel. En développant des malwares applicables pour chaque entreprise, les pirates peuvent traiter du volume. Ce qui rapporte le plus est le déploiement massif de ces malwares. En ciblant des dizaines, voire des centaines d’entreprises qui payeront en majorité la rançon, les pirates peuvent engranger des sommes considérables. Les plus compétents peuvent aussi vendre leur malware à d’autres pirates, générant encore plus de profits.

Pirate cherche méfait à commettre

Certains pirates décident aussi de commettre des méfaits à de plus petites échelles. Avec l’émergence des réseaux sociaux, certains citoyens sont victimes de ce qu’ils postent. Les pirates ne se gênent pas pour créer des fraudes élaborées à partir d’informations partagées sur les réseaux. 

Aujourd’hui, deux entreprises sur trois décident de payer la rançon plutôt que de subir ses effets. En France, comme en Europe, les rançons se comptent généralement en quelques milliers d’euros. Cette somme est finalement assez mince pour récupérer toutes ses données et faire repartir son service sans ébruiter le problème. Pourtant, le tabou du piratage est en train de se lever. Pour les intervenants, les entreprises osent beaucoup plus avertir les autorités de ces incidents qu’auparavant.

Nos données de santé valent une fortune

Ce webinaire était aussi l’occasion de se pencher sur nos données de santé, leur valeur mais aussi leur impact. L’objectif de la malveillance a toujours été le même, numérique ou non : gagner de l’argent. Sur le marché noir de la donnée, nos données de santé se vendent à prix d’or. Comptez par donnée de 150 à 300 euros, une petite fortune ! Les données des hôpitaux et autres acteurs de la santé sont donc sans surprise convoitées par les criminels pour leur grande valeur.

Les attaques des hôpitaux sont des cas d’études très intéressants. En lançant un ransomware sur ces structures, les acteurs malveillants mettent à mal toute la chaîne de soin. Certains hôpitaux paient évidemment au plus vite la rançon, mais parfois le pire est déjà arrivé. Les ransomwares tuent, et ce n’est pas un phénomène qui risque de s’arrêter. En 2017, une attaque sur le NHS (le système de santé anglais) par le logiciel wannacry avait indirectement causé la mort de 600 à 900 patients.

Le marché noir de la donnée de santé

Quand les cyberattaques ne paralysent pas les écosystèmes de santé, elles en subtilisent les données. Les intervenants ont tous repris un même slogan à ce sujet : nos données sont victimes d’une véritable ruée vers l’or. Mais à qui sont vendues ces données ? Qui est prêt à investir autant d’argent pour racheter nos soucis de santé ? Plusieurs réponses sont possibles : d’autres acteurs malveillants, des brokers de données de santé ou des entreprises pas très nettes, mais aussi des assurances.

Attention à ne pas vous emballer ! Votre assureur français n’est pas en train de trafiquer vos données de santé sur le marché noir contre votre numéro de téléphone. Il est absolument illégal en France de faire ce qui s’appelle du profiling financier depuis ce genre d’informations. La donnée de santé en France est récupérée de manière plus transparente que dans d’autres pays. Les questionnaires invasifs des mutuelles ou les examens de santé avant un prêt bancaire remplissent parfaitement ce rôle.

Mais, cette pratique est légale dans d’autres parties du globe. Aux Etats-Unis, votre assureur pourrait récupérer certaines de vos données de santé, et vous proposer ensuite un plan d’assurance adaptée ! Bien évidemment, peu d’informations filtrent sur ce genre de rachats de données. Ces situations existent, mais elles sont complexes à prouver et à documenter. La source de ces données, comme leur utilisation, demeurent toujours bien mystérieuses.

Les assureurs ne sont pas de grands méchants !

Mais la data n’a pas que des aspects négatifs ! Pour les assureurs, le profilage et les montagnes de données représentent des ressources inestimables. Pour proposer des tarifs personnalisés adaptés à chaque situation, des algorithmes sont créés pour traiter toutes ces données. Elles y détectent des logiques et des mouvements que les employés ne peuvent pas percevoir. On peut ici penser à la solution d’Akur8, une assurtech française, qui développe une intelligence artificielle pour faciliter la tarification et la modélisation des risques pour les assureurs et réassureurs.

Certaines assurances ont aussi commencé à développer des formules de protection et de garantie contre les risques cyber pour protéger les données des entreprises. Mais, pour les intervenants de l’ACSEL, ce plan va prendre l’eau dans peu de temps. En effet, l’ensemble des coûts induits par un ransomware sont en fait bien plus élevés que le prix de ces assurances. Le système n’est donc pas économiquement viable.

Un nécessaire devoir de vigilance

Une question reste cependant en suspens : comment les entreprises, et nous les internautes, pouvons mieux protéger nos données ? Qui que l’on soit, quand on confie des données, le plus important est de se renseigner sur les mesures de sécurité qui les entourent. Pour les entreprises confiant leurs données à des sous-traitants, la vigilance est de mise sur les conditions de stockage et d’exploitation des données.

Au final, une idée majeure ressort de ce webinaire : les datas sont le nouvel or du web. Il est simple de voguer sur Internet et de ne pas se soucier de l’endroit où atterrissent nos données. Mais, gardons à l’esprit que des acteurs malveillants sont prêts à tout pour les acquérir. Il faut donc être très prudent et vigilant face à ces questions de données personnelles, tout en gardant en tête le positif qu’elles peuvent nous offrir.

 

Aucun commentaire sur cet article. Soyez le premier !

Laissez votre commentaire