La onzième édition du mois européen de la cybersécurité : lutter contre la fraude par ingénierie sociale

Publié par le dans , | Consulté 141 Fois

par Louison CHARTIER, étudiante en Master 2 Droit des médias électroniques

Créé par l’ENISA (Agence de l’Union européenne pour la cybersécurité) en 2012, le cybermoi’s est une nouvelle fois de retour ce mois d’octobre pour une onzième édition. À ce titre, les instances européennes ont délégué l’organisation de cet événement aux autorités de régulation nationales compétentes en la matière.

Cet événement est d’une importance notable car il a pour principal rôle de sensibiliser les particuliers et professionnels sur les dangers d’Internet notamment en terme de cybermenaces ainsi que sur les comportements à adopter pour mieux les appréhender.

L’ENISA a choisi comme thème de cette année la fraude par ingénierie sociale. Il n’existe pas de définition légale de ce terme. D’après Interpol, il s’agit d’ “un terme générique qui désigne les escroqueries orchestrées par les criminels qui abusent de la confiance d’une personne afin d’obtenir de l’argent ou des informations confidentielles leur permettant de commettre une autre infraction“. Ce n’est donc pas une infraction basée sur une faille de sécurité mais plutôt sur une faille humaine. Il s’agit par exemple des fraudes à la télécommunication, de l’hameçonnage ou encore de l’escroquerie aux faux virements.

Les fraudes par ingénierie sociale sont sanctionnées par le Code pénal. Par exemple, l’escroquerie aux faux virements est prévue par l’article 313-1 du code pénal, les sanctions encourues étant de 5 ans d’emprisonnement et 375 000€ d’amende.
Les sanctions sont très élevées mais il faut rappeler que la sensibilisation reste le meilleur moyen de protéger les potentielles victimes.

À titre national, le cybermoi’s est assuré par cybermalveillance.gouv soutenu par l’Agence Nationale de la Sécurité des Systèmes d’Information (l’ANSSI). Le choix de leur confier cette action nationale est logique car ce sont les deux principaux acteurs de régulation de la cybersécurité en France.

Cybermalveillance est un Groupement d’intérêt Public (GIP) institué en mars 2017 à l’initiative de l’ANSSI et de plusieurs ministères notamment celui de l’économie. Le Titre 1 de l’arrêté du 3 mars 2017 portant approbation de cybermalveillance vise les 3 objets de ce GIP :

  • l’assistance des victimes d’actes de cybermalveillance
  • la sensibilisation du public et l’organisation de campagnes de sensibilisation
  • la fourniture de données statistiques des cybermenaces

Ainsi, cette autorité publie sur son site internet des recommandations et organise des campagnes de prévention. Elle a un rôle d’autant plus important durant le mois d’octobre dit cybermoi’s ou encore lors des événements sportifs d’importance majeure.

Recommandations par les autorités de régulation nationale : Focus sur la Coupe du monde rugby

Le 5 septembre 2023, cybermalveillance a posté des recommandations afin de sensibiliser les amateurs de rugby voulant s’acheter des billets.

Les 5 conseils sont :

  1. Méfiez-vous des offres immanquables
  2. N’achetez en ligne que des sites officiels et réputés
  3. Méfiez-vous des gains inespérés à des jeux concours
  4. Fuyez les sites de paris sportifs clandestins
  5. Ne suivez les matchs en vidéo que sur les sites officiels

Ces conseils peuvent paraitre basiques mais sont en réalité un bon moyen de rappeler aux utilisateurs qu’un événement d’une telle envergure est la cible de nombreuses fraudes par ingénierie sociale notamment d’hameçonnage ou d’escroquerie.

En plus de ces recommandations, l’organisation annuelle du cybermoi’s est une source de sensibilisation importante des professionnels et des particuliers. Ce mois a aussi pour qualité de s’adapter à tous les âges (on sait que les personnes âgées sont souvent visées car ce sont des personnes vulnérables).

À ce titre, dans le rapport d’activité 2022 de cybermalveillance, l’hameçonnage, le rançongiciel et le piratage de compte étaient les 3 raisons principales de demande d’assistance des victimes.

D’ailleurs, l’hameçonnage était le sujet principal du cybermoi’s de 2022. La prévention est de plus en plus complexe. En effet, les cybercriminels sont de plus en plus ingénieux et l’expression hameçonnage vise de nombreuses situations (comme la fausse livraison de colis, la fausse amende ou encore la fausse vignette Crit’Air).

Sensibilisation et responsabilisation des particuliers et professionnels face aux cyberattaques

Lancement d’un hashtag. En sensibilisant les e-consommateurs, cybermalveillance cherche aussi à les responsabiliser. À ce titre, pour ce mois européen de la cybercriminalité, le hashtag #cyberResponsable a été créé. Pouvant être utilisé sur les réseaux sociaux, il permet à chacun de sensibiliser les autres en partageant un conseil, une arnaque repérée, d’échanger sur des expériences. En effet, plusieurs visuels ont été réalisés pour les poster sur les réseaux sociaux : ils sont courts, percutants et clairs ce qui permet d’attirer l’attention de nombreux utilisateurs.

Lancement de la Charte Cyber. Le cybermoi’s a aussi été l’occasion d’introduire la “CyberCharte“, qui a d’ailleurs été signée par 83 entités. Cette CyberCharte énonce “8 engagements principaux des organisations pour la mise en place d’un cadre de cybersécurité vertueux et responsable”. Parmi les engagements, on y retrouve la priorité stratégique de la cybersécurité, la nomination d’un référent cybersécurité ou encore la sensibilisation et la formation des employés.

Le référent cybersécurité pourra travailler avec le responsable informatique ainsi que le DPO afin de sécuriser au mieux l’entreprise de toute atteinte à la cyber sécurité.

Parmi les entités signataires, on retrouve les Ministères, la CNIL, la SNCF ou encore Bouygues Télécom pour ne citer qu’eux.

Cette CyberCharte peut être signée par toute association, entreprise ou collectivité voulant se protéger des cyberattaques et sécuriser ses systèmes informatiques.

Ce mois européen peut enfin être mis en exergue avec le projet de Loi visant à sécuriser et à réguler l’espace numérique qui veut introduire un filtre de cybersécurité anti arnaque. Il a été examiné la première quinzaine d’octobre par l’Assemblée Nationale …

BIBLIOGRAPHIE

  • SONTAG KOENIG (S), Cyberarnaques : quand l’internaute mord à l’hameçon, Podcast Les temps électriques, Amicus Radio, 21 avril 2023, 46 min
  • article 313-1 du Code pénal
  • www.cybermalveillance.gouv.fr
  • www.interpol.int/fr
  • Arrêté du 3 mars 2017 portant sur l’approbation de la convention constitutive du groupement d’intérêt public pour le dispositif national d’assistance aux victimes d’actes de cybermalveillance
  • NOTTING (J), Rapport d’activité 2022, Site cybermalveillance.gouv, 23 mars 2023, 31p
  • Projet de Loi ECOI2309270L visant à sécuriser et à réguler l’espace numérique (déposé en conseil des ministres le 10 mai 2023)