Le risque cyber aujourd’hui

Le contexte

Ces dernières années, les cyberattaques ne cessent de progresser. Leurs auteurs peuvent être motivés par l’idéologie (vol d’un million de données à l’APHP en vue de dénoncer la vaccination obligatoire), des visées d’espionnage et/ou géopolitique (attaques massives entre la Russie et l’Ukraine afin de perturber l’économie) ou plus couramment pour rechercher des gains financiers (demande de rançons).

La France est le 4ème pays le plus touché après les États-Unis, la Chine et l’Allemagne. Les entreprises sont les principales victimes, et 95 % d’entre elles sont des PME. Le coût moyen est de l’ordre de 58 000 € dont 25 000 € pour répondre à l’attaque, 8 000 € découlant de l’interruption de l’activité et 25 000 € correspondant aux rançons.

Alors que 43% des entreprises françaises ont déclaré avoir subi une cyberattaque en 2024, seule 1 entreprise sur 2 a porté plainte, l’enquête n’aboutissant à l’identification des hackers que dans 16% des cas.

Typologie des cyberattaques

Les principales techniques utilisées sont le phishing (73% des entreprises concernées), l’exploitation d’une faille (53%) et l’arnaque au président (38%).

Le phishing : la faille humaine

Le hacker peut utiliser une palette de moyens pour réaliser son hameçonnage : courriels, SMS alarmistes (qui contiennent généralement un lien), spams ou appels téléphoniques.

Il s’appuie sur une « faille » humaine afin d’obtenir des informations personnelles et/ou bancaires. Dans la plupart des cas l’auteur de l’hameçonnage a l’intention de collecter et d’utiliser les données personnelles et/ou bancaires et/ou installer un logiciel malveillant.

La fausse annonce de remboursement, la demande urgente de règlement d’un impayé (dette aux impôts, paiement d’une contravention, etc.), le renforcement de la sécurité d’un compte (comme un compte bancaire ou une plateforme de paiement), le problème d’acheminement d’un colis (utilisation d’un mail à l’en-tête de Chronopost) sont les procédés les plus courants.

A titre d’exemple, on peut citer :
 Usurpant l’identité de la direction générale des finances publiques (utilisation du nom, sceaux et Marianne, citation d’articles législatifs), le fraudeur va prétexter un contrôle auprès d’une entreprise cible. Sous couvert de cette fausse identité, il obtient ainsi des informations sur l’entreprise et sur ses clients. Armé de ses renseignements, il se fait passer pour l’entreprise et annonce aux clients un changement de compte bancaire sur lequel s’effectuera le paiement de futures factures.
 Le hacker s’introduit dans la messagerie d’un collaborateur, modifie les RIB de l’entreprise à son profit et effectue ou fait effectuer des virements.
 Il crée un site proche du nom d’un fournisseur habituel de l’entreprise (modifiant le .fr en .com ou « entreprise » au lieu de « entreprise ») et obtient ainsi les règlements.

La demande de rançon : la faille technique

Ces attaques exploitent des failles de sécurité de l’entreprise pour chiffrer et bloquer ses systèmes informatiques (ordinateur, fichiers…) exigeant alors une rançon pour un retour à la normale (en moyenne entre 10 000 € et 30 000 €).
Une attaque par déni de service, également connue sous le nom de DDoS, constitue une forme de cyberattaque visant à rendre un site web ou un réseau inopérant en les submergeant de trafic malveillant, entravant ainsi leur fonctionnement.

La fraude au président

L’arnaque au président consiste pour le fraudeur à contacter une entreprise cible, en se faisant passer pour le président de la société mère ou du groupe. Le contact se fait par courriel ou par téléphone et généralement pendant la période estivale.

Les fraudeurs préparent en amont un maximum d’informations sur la société : liste des collaborateurs (tirée de LinkedIn), activités récentes (rachat d’une filiale, nouveau fournisseur…), niveau de trésorerie, filiales à l’étranger et même l’emploi du temps du dirigeant (voyage à l’étranger par exemple).

Pour justifier un envoi de fonds vers l’étranger, le « président » évoque alors une OPA imminente, une acquisition de société ou un redressement fiscal à régulariser. Le ou la comptable doit alors effectuer un virement urgent, l’opération étant bien entendu confidentielle.

Ces situations sont loin d’être isolées et portent sur des sommes extrêmement importantes.

Cour d’appel de Douai – 18 avril 2024 – n° 22/03495 La comptable de la société, suivant les instructions données par message écrit sur son adresse électronique professionnelle, via l’adresse électronique du directeur général de la société, M. [U], qui s’avérera être usurpée, a procédé à un virement de plus de 95 000 € au profit d’une société X, sur un compte ouvert dans une banque en Suisse.
Cour d’appel de Lyon 5 octobre 2023 – n° 20/02932 : Préjudice de plus de 186 000 €.
Cour d‘Appel de Paris du 19 juin 2019 n°2019/350 : Préjudice de plus de 400 000 €.

Dans ces hypothèses, la responsabilité de l’établissement bancaire peut être recherchée.
En effet, la banque est tenue à une obligation générale de vigilance et le banquier doit mettre en garde son client en cas d’opération suspecte, et/ou lui demander de confirmer l’ordre de virement lorsque ce dernier paraît anormal (anomalie apparente, intellectuelle ou matérielle), à défaut, il commet une faute de négligence.
Cette responsabilité est très souvent partagée, les juges relevant également la faute de la direction qui n’avait pas suffisamment mis en œuvre des systèmes de sécurité et/ou du préposé.
Toutefois et depuis quelques années, les banques alertent régulièrement leurs clients sur ces arnaques, mettent en place des systèmes de sécurité plus importants et par voie de conséquence, leur responsabilité est de moins en moins retenue.

Les signes d’une cyberattaque

La détection repose souvent sur la vigilance constante des utilisateurs et des systèmes de sécurité. Il est conseillé de :

  1. Surveiller le trafic réseau  

Cette surveillance permet de détecter les anomalies, les incohérences, les connexions suspectes, ou les comportements non autorisés.

  1. Analyser les journaux de sécurité

Les registres de sécurité des systèmes et des applications permettent de repérer des activités suspectes, comme des tentatives d’accès non autorisé, des altérations inattendues de fichiers, ou des connexions malveillantes.

  1. Reconnaître les symptômes

Les principaux indices révélant l’existence ou la tentative d’une attaque sont :

  • des ralentissements importants sur les postes de travail,
  • l’apparition d’annonces intrusives, ou des fluctuations inhabituelles sur le site web,
  • un pic soudain et sans justificatif de trafic,
  • des messages étranges émis ou reçus depuis la boîte mail sans aucune intervention,
  • des anomalies au démarrage/à l’arrêt des PC,
  • la disparition, modification, ou création non autorisée de fichiers,
  • le blocage soudain du PC,
  • des alertes massives de l’antivirus,
  • l’impossibilité d’accéder à des éléments cruciaux du réseau d’entreprise,
  • la diffusion non autorisée de données confidentielles sur le web,
  • des mots de passe devenus inutilisables,
  • des connexions inhabituelles sur les comptes

L’assaillant peut également inonder délibérément sa cible de trafic internet indésirable, entravant la trajectoire du trafic normal vers sa destination prévue.

Les recommandations

Avant tout type d’incident

Quelques recommandations courantes :

  • Choisir avec soin les mots de passe, (cf. les recommandations de la CNIL Mots de passe | CNIL)
  • Mettre à jour les logiciels régulièrement,
  • Prévoir la continuité d’activité,
  • Sécuriser l’accès wifi de l’entreprise,
  • Être aussi prudent avec le smartphone ou la tablette qu’avec le PC,
  • Protéger ses données lors des déplacements,
  • Sécuriser les postes de travail (anti-virus, firewall…), les serveurs, les sites web, l’informatique mobile,
  • Gérer les habilitations,
  • Protéger les locaux,
  • Séparer les usages personnels et professionnels,
  • Ne pas ouvrir de courriels ou les pièces jointes provenant d’expéditeurs inconnus.
  • Assurer la formation des salariés aux bonnes pratiques.
Attention, les intermédiaires soumis au règlement DORA (ceux employant plus de 250 personnes et dont le CA excède 50 millions d’euros ou le bilan 43 millions) ont l’obligation de mettre en place un certain nombre d’actions avant tout incident. On peut citer la formation de la gouvernance et des salariés et la réalisation de tests.
Cf CGPA fiche pratique janvier 2025 et CGPA Conseil dossier DORA janvier 2025

Sur le site de cybermalveillance.gouv, vous pourrez retrouver l’ensemble des recommandations et obtenir des conseils.

Lors de la survenance de l’incident

L’ACYMA (Groupement d’Intérêt Public Action contre la Cyber Malveillance) présente 5 consignes clés à suivre :

  1. Débranchez du réseau informatique et désactivez internet

Pour ce faire, vous devez déconnecter le câble réseau et désactiver la connexion Wi-Fi ainsi que les modes de liaison et de partage de données pour les appareils mobiles. Cette mesure permet de stopper la propagation et protéger les autres appareils connectés au même réseau.

  1. N’éteignez pas l’appareil

Certains éléments de preuve contenus dans la mémoire de l’équipement pourraient être effacés si l’appareil était éteint. Les experts en sécurité informatique auront besoin de ces éléments pour analyser l’attaque et déterminer la meilleure stratégie de réponse.

  1. Alertez au plus vite votre support informatique

Ce dernier pourra prendre les mesures nécessaires pour contenir ou réduire les conséquences.

  1. N’utilisez plus l’équipement potentiellement compromis

Isolez l’appareil touché et ne le réutilisez pas tant que la situation n’a pas été résolue.

  1. Prévenez vos collègues

Une mauvaise manipulation de la part d’un autre collaborateur pourrait aggraver le contexte.

Les conséquences de l’attaque

Pour l’entreprise

Pour l’entreprise, les conséquences sont nombreuses allant de la perte d’exploitation à l’impact sur la notoriété. On peut citer :

  • Interruption de l’activité ou fort ralentissement entraînant des pertes d’exploitation,
  • Détérioration du matériel informatique,
  • Fuite de données nécessaires aux opérations,
  • Impact sur la notoriété,
  • Frais de préservation de la réputation et de l’image de l’entreprise,
  • Frais d’expertise et d’assistance informatique,
  • Frais de mise en place d’une plateforme téléphonique,
  • Frais de reconstitution des données en présence de sauvegardes informatiques disponibles et exploitables,
  • Frais de notification à la CNIL et aux personnes concernées à la suite d’une violation de données personnelles,
  • Cyber rançon,
  • Frais de gestion de crise etc

Vis-à-vis des tiers

Les tiers peuvent également subir les conséquences d’une cyberattaque, du fait de sa propagation ou en lien avec les données détenues par l’entreprise touchée. Celle-ci devra donc en assumer les répercussions.

  • Prise en charge des conséquences liées aux atteintes aux données (vol perte ou divulgation non autorisée de données personnelles ou confidentielles), aux atteintes aux systèmes (altération, destruction, suppression de données protégées, transmission d’un programme malveillant…)
  • Risques de diffamation,
  • Risques d’atteinte aux droits à l’image…

Les obligations de l’intermédiaire

Le dépôt de plainte, une obligation légale

Afin d’intensifier la lutte contre la cybercriminalité, le législateur a édicté en 2023 une nouvelle obligation pour les professionnels (personne physique ou morale).

Désormais selon l’article L12-10-1 du Code des assurances l’indemnisation par l’assureur est subordonnée au dépôt de plainte dans les 72 heures après la connaissance de l’atteinte.

Vous trouverez en lien la FAQ de LOPMI. LOPMI_FAQ.pdf
Comment porter plainte en cas de cyberattaque de votre entreprise ? – francenum.gouv.fr

Outre le dépôt de plainte, il convient d’alerter les forces de l’ordre, notamment en composant le 17 17Cyber – Mon assistance en ligne | Site Officiel.

Ce site permet d’obtenir des conseils et de parler avec des policiers ou gendarmes spécialisés en la matière qui pourront guider la victime dans toutes les démarches à accomplir.

Attention, cette alerte ne se substitue pas au dépôt de plainte.

La notification à la CNIL

En tant qu’intermédiaire, vous pouvez être responsable du traitement des données.

  1. CGPA Conseils CNIL RGPD avril 2025.

En cas de violation des données, vous avez une double obligation, vis-à-vis des victimes et vis-à-vis de la Commission Nationale de l’Informatique et des Libertés (CNIL).

Vous devez aviser l’intégralité des victimes et leur donner toutes les informations utiles les concernant (nature de la violation, conséquences, coordonnées du DPO, mesures prises pour remédier à la violation, recommandations notamment le changement de mot de passe …).

Vous devez également notifier à la CNIL dans les 72 heures la nature de la violation et si possible, les catégories et le nombre approximatif de personnes concernées, les conséquences probables de la violation. En 2024, 5629 notifications de violation de données ont été enregistrées, soit 20% de plus que l’année précédente.

Vous devez décrire les mesures prises ou envisagées afin d’atténuer les éventuelles conséquences négatives et éviter que cet incident ne se reproduise.

Il convient de rappeler le pouvoir de sanctions de la CNIL en cas de non-respect du RGPD. En 2024, la CNIL a enregistré 17 772 plaintes, a prononcé 87 sanctions pour un montant total de plus de 55,2 millions d’euros d’amendes, 1/3 des sanctions concernent des manquements à l’obligation de sécurité de protection des données.

Les obligations dans le cadre de DORA

CGPA Conseils janvier 2025

Pour mémoire, le Parlement et le Conseil ont adopté le 14 décembre 2022 un règlement UE 2022/2554 portant sur la résilience opérationnelle numérique dans le secteur financier (DORA).

Ce texte est entré en vigueur le 17 janvier 2025.

L’objectif est de s’assurer que les établissements financiers peuvent résister, répondre et maintenir leurs activités en cas de cyberattaques mais également lors de tout dysfonctionnement de l’information et de la communication.

Parmi les intermédiaires, seuls sont concernés ceux employant plus de 250 personnes et dont le CA excède 50 millions d’euros ou le bilan 43 millions.

En application de DORA, les entités doivent notamment :

Notifier aux autorités nationales compétentes les incidents identifiés comme majeurs et liés aux TIC  (techniques d’information et de communication) dans les 24 heures. 

Tous les incidents affectant les TIC et les cybermenaces doivent impérativement être enregistrés sur un registre (surveillance, traitement, suivi, authentification des causes des défaillances et remèdes préconisés).

Par ailleurs les incidents et cybermenaces classés comme majeurs (selon les critères de nombre et importance des clients touchés, volume de transactions impacté, atteinte à la réputation, durée de l’incident, interruptions de service, pertes des données, criticité des services touchés…) doivent être notifiés aux autorités (l’AMF ou l’ACPR en France), selon une procédure extrêmement détaillée (délais, traitements, solutions préconisées…).

Effectuer des tests de résilience opérationnelle numérique.

Cette obligation vaut pour toutes les entreprises soumises à la réglementation DORA. Les tests seront au minima annuels (évaluation de la sécurité des réseaux, tests de performance, tests fondés sur des scénarios…).

Par ailleurs et pour les très grandes entités financières (plus de 500 millions d’euros de primes brutes), il sera demandé la mise en place de tests de pénétration fondés sur la menace c’est-à-dire simulant le mode opératoire de véritables attaques cyber.

Tenir un registre de tous les incidents.

Pour rappel, les sanctions encourues par les personnes assujetties au contrôle de l’ACPR vont de l’avertissement au retrait d’agréement ainsi que des sanctions financières pouvant aller jusqu’à 100 millions d’euros ou 5% du CA net.

Pour conclure, il ne faut pas perdre de vue que la responsabilité contractuelle du prestataire de service peut être recherchée.

Le 19 novembre 2024, la Cour d’appel de Rennes (n° RG 23/04627) a condamné à hauteur de 50 000 € un prestataire de service informatique pour manquement à ses obligations d’information et de conseil.
A la suite d’une cyberattaque, toutes les données économiques, administratives et personnelles (numéro de sécurité sociale, RIB des salariés, des clients et des fournisseurs, ainsi que les copies des pièces d’identité de quatre membres de la direction) ont été volées. Les activités ont été arrêtées pendant une semaine avant de reprendre progressivement. L’entreprise a assigné le prestataire informatique qui avait livré et installé le matériel.
En effet, un expert avait pu conclure que la cyberattaque avait notamment pour origine d’importantes failles du matériel informatique, failles aggravées par une mauvaise configuration du contrôleur de domaine.
En défense, le prestataire informatique arguait du fait qu’il avait parfaitement répondu aux demandes du cahier des charges établi par le client.
Pour la cour d’appel, en matière de services informatiques comprenant l’installation d’une nouvelle architecture, produit complexe, le fournisseur doit vérifier que ses prestations répondent aux besoins exacts de son client et ce en référence aux meilleures pratiques du marché.
Il a l’obligation de proposer toutes les mesures nécessaires à la sécurisation des données et de préciser si ses propres prestations couvrent ou non tous les champs.
En l’espèce, n’ayant pas respecté l’ensemble de ses obligations, la responsabilité du prestataire informatique a été retenue.

Pour les assurés CGPA, la couverture des risques CYBER est incluse dans votre contrat RC PRO.