Trouvez votre solution

1

Vous voulez... Financer votre activité, un investissement, un projet...

2

Dans quel but ? Acquérir un matériel ou un bien immobilier

3

Pour quel objectif ? Disposer d’une avance de vos effets de commencer en attente de paiement

recommencer

Trouvez votre solution

  1. 1

    Vous voulez... Financer votre activité, un investissement, un projet...

  2. 2

    Dans quel but ? Acquérir un matériel ou un bien immobilier

  3. 3

    Pour quel objectif ? Disposer d’une avance de vos effets de commencer en attente de paiement

recommencer

Contactez-nous
  • Etat des lieux
  • Le phising
  • Objets connectés
  • Se protéger
Contactez-nous
Article précédent Chiffres, prévisions économiques et financières de janvier 2018
Article suivant Changement climatique : s’adapter ou mourir !

Cyberfraude en 2018 : une menace loin d’être virtuelle !

05/02/2018

La cyberfraude rapporte plus que le trafic de drogue ! Ce fléau n’est donc pas près de s’arrêter et va toucher de plus en plus d’entreprises. Sans compter que la menace va évoluer et se sophistiquer. À quoi faut-il s’attendre en 2018 ? Voici quelques prévisions et conseils pour cette nouvelle année.

Évolutions des ransomwares pour mieux piéger les entreprises

Les ransomwares*, ou rançongiciels en français, tels Wannacry et Petya, ont fait des dégâts considérables en 2017. En 2018, le fléau devrait non seulement perdurer mais surtout évoluer.Avant d’aller plus loin, intéressons-nous au fonctionnement actuel du ransomware (infographie signée Statista).

"Évolutions des ransomwares pour mieux piéger les entreprises"


Évolutions des ransomwares pour mieux piéger les entreprises

Si jusqu’ici, les ransomwares servaient principalement à bloquer l’accès aux données d’une entreprise, dorénavant les hackers pourraient chercher à saboter leurs cibles (panne ou destruction par exemple du système informatique), selon les prévisions 2018 de McAfee (en anglais).

La nouvelle arme des cybercriminels ? L’intelligence artificielle : les ransomwares devraient donc être de plus en plus perfectionnés en étant dotés d’une capacité d’auto-apprentissage (machine learning) notamment. C’est-à-dire qu’ils sauront par exemple prendre des décisions de manière autonome afin de trouver les parades aux systèmes de sécurité.

Et, mauvaise nouvelle supplémentaire, nombre de spécialistes en cybersécurité prévoient unerecrudescence des attaques envers les entreprises, une cible plus lucrative que les particuliers !

Les entreprises qui utilisent Windows ne sont plus les seules touchées. Les attaques sur Mac, Linux ou encore Android vont continuer d'augmenter, dixit le rapport de SophosLabs.

Principalement présents sur les marchés hors Google Play, des logiciels malveillants sur Android font leur apparition et devraient décoller : ils ont la capacité de verrouiller le téléphone avec ou sans chiffrement des données. La vigilance est donc de mise quant à l’endroit et au type d’applications téléchargées.

Enfin, le succès des ransomware-as-a-Service (RaaS), c’est-à-dire des kits clé en main de malwares vendus sur le DarkNet (l’Internet clandestin) à des cybercriminels peu expérimentés, tel Cerber, ne devrait pas faiblir et contribuer à entretenir la menace…

Pour aller plus loin, vous pouvez lire notre article comment se prémunir des fraudes et cyberattaques, nos conseils.


Le phishing, une technique connue mais qui se perfectionne

Tant que l’humain restera le maillon faible de la cybersécurité, les campagnes de phishing**, ou hameçonnage en français, continueront de fleurir. Le but est ici de récupérer des données personnelles comme des mots de passe de comptes bancaires ou des numéros de carte de crédit pour détourner des fonds ou permettre l’installation de logiciels malveillants tels les ransomwares.

Comment ? Via l’envoi d’un e-mail, des faux comptes sur les réseaux sociaux ou le téléchargement d’une appli, par exemple un jeu vidéo. L’e-mail restera le vecteur de distribution le plus utilisé pour une infection informatique initiale, indique Proofpoint sur son blog (en anglais).

Les collaborateurs étant de plus en plus sensibilisés à cette menace, le phishing se sophistique. Dans cette optique, le spear phising, c’est-à-dire ultra-personnalisé, est une menace particulièrement redoutable. L’éditeur Kaspersky signale que les cibles les plus courantes du spear phishing sont soit des employés de haut niveau qui ont accès à des informations potentiellement intéressantes, soit les employés de départements dont le travail consiste à ouvrir un grand nombre de documents provenant de sources externes.

Comme pour les ransomwares, les cybercriminels auront recours à l'intelligence artificielle pour mener des campagnes de phishing toujours plus trompeuses, intelligentes, automatisées et efficaces ! Grâce au machine learning, les logiciels pourront vraisemblablement créer de faux messages très réalistes en s’inspirant du contenu des boîtes e-mail et ce, à grande échelle.



La vulnérabilité des objets connectés de plus en plus exploitée

Les objets connectés ont le vent en poupe mais ils ont leur talon d’Achille : la sécurité. La faille est trop belle pour les cybercriminels qui s’engouffrent sur le créneau. Espionnage, vol de données et chantage au travers d’une caméra ou d’une cafetière dites intelligentes ou encore piratage pour mener des attaques par déni de service distribué (DDoS)***, telles sont les possibilités offertes aux pirates.

Si, pour les usagers, il y a quelques précautions à prendre comme l’indique la CNIL, c’est aussi aux fabricants d’objets connectés de se saisir de la question, en revoyant à la hausse la sécurité de leurs produits. Si vous concevez de tels objets, prenez donc garde : votre réputation est en jeu ! Les litiges pourraient également se développer et le risque d’amendes, avec l’entrée en vigueur du RGPD, n’est pas négligeable.

Voici les conseils de la CNIL :

"Les conseils de la CNIL pour renforcer la sécurité des objets connectés"


Les conseils de la CNIL pour renforcer la sécurité des objets connectés

Les bons réflexes si vous êtes attaqué

57% des entreprises françaises déclarent avoir subi une cyberattaque en 2016, alors qu’elles n’étaient que 32% en 2015, selon l’ebook d’Euler Hermes publié en décembre dernier. Les entreprises françaises ont identifié 4 550 tentatives d’intrusion pour des pertes financières évaluées à 2,25 M€ en moyenne entre mai 2016 et mai 2017, souligne par ailleurs une étude PwC.

Le risque n’est donc pas virtuel et peut toucher toutes les entreprises, quels que soient leur taille ou leur secteur d’activité…

Si malgré tous vos efforts, vous êtes victime d’un ransomware, par exemple, voici la conduite à suivre :

  • Déconnectez les machines infectées du réseau, ce qui permettra de stopper la propagation.
  • Sauvez ce qui peut être sauvé. Sauvegardez les fichiers importants sur des supports amovibles isolés, prévient Cert-FR. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes.
  • Ne payez pas la rançon. Payer serait une erreur parce que rien ne garantit que vous récupériez vos données et cela encourage les cybercriminels à recommencer.
  • Déposez plainte. Le gouvernement vient de lancer Cybermalveillance.gouv.fr, une plateforme Web dédiée aux victimes d’une cyberattaque. Elle permet aux victimes de rançongiciels, d’arnaques aux e-mails, de vol et de corruption de données, de spams ou d’attaque DDoS, de porter plainte et d’être mises en relation avec des prestataires de service locaux capables de résoudre ce type de problèmes informatiques. Vous y trouverez un annuaire de prestataires notés par les usagers, à la manière de TripAdvisor. C’est également une mine d’informations avec de nombreux guides pratiques comme le Guide Réagir à une attaque informatique : 10 préconisations.


Contactez votre chargé d’affaires BNP Paribas pour réaliser un diagnostic prévention sécurité et mettre en place des solutions adaptées à votre organisation.



* Le ransomware est un logiciel informatique malveillant qui prend en otage les données et les restitue contre une rançon.
** Le phishing est une technique par laquelle des personnes malveillantes dupent l’internaute en usurpant l’identité d’une entreprise ou d’un organisme connus.
*** Le déni de service distribué (ou DDoS) est une attaque qui vise à rendre indisponible une application informatique. Les serveurs, les structures d’hébergement informatique et les sites Web peuvent en être victimes.