Prévenir les risques de cyber-criminalité
La cyber-criminalité, particulièrement en entreprise, est d’abord et avant tout un problème humain. Croire que de seules solutions techniques peuvent les empêcher est un leurre!
Il est mis en évidence la recrudescence d’une criminalité par le réseau avec des faits et incidences parfois gravissimes dans le monde de l’entreprise, de l’économie d’un pays, mais aussi sur l’humain au quotidien.
La cybercriminalité, à savoir les infractions pénales susceptibles de se commettre sur ou au moyen d’un système informatique généralement connecté à un réseau, grandit sans pouvoir être quantifiée du fait qu’un simple vol d’une donnée dans un ordinateur qui ne vous appartenant pas est déjà une cyber-infraction !
C’est porte ouverte à tout : vol d’une musique, copie d’un fichier, copie d’adresses mails, échange de clés USB (même avec fichiers effacés). De petites infractions semblent à la portée de tous. Il apparaît moins évident de considérer mettre une action avec tout matériel informatique pouvant obtenir des données d’un point A à un point B, parfois très distant l’un de l’autre.
Aucune entreprise n’est épargnée
Aucune entreprise n’est épargnée, d’ordre privé ou public, et, si elles commencent à en prendre conscience en France, peu de chefs d’entreprise sont prêts ne serait-ce qu’à faire un audit pour mieux se protéger.
Si des mesures basiques peuvent être mises en place, parfois en s’appuyant sur du bon sens intégré dans le règlement intérieur de l’entreprise ou une charte de bonne conduite, elles ne peuvent suffire à protéger l’entreprise.
Pour autant, il faut le faire et sans devenir paranoïaque, ne pas hésiter à s’entourer de personnes compétentes notamment en informatique et systèmes d’information, afin de protéger au mieux les données avec des actions correctrices, canalisées et pérennes.
Beaucoup d’entreprises se satisfont de cela, sous couvert d’être sécurisées par un service informatique hors pair avec l’employé de l’année qui a su décrypter les codes secrets de je ne sais quel réseau ou entreprise … J’exagère à peine dans les propos que tiennent bien souvent des entrepreneurs!
Fuite intellectuelle, espionnage industriel, vol
Pourtant, ces entreprises sont aussi victimes de fuite intellectuelle, espionnage industriel ou vol… et de s’en étonner !
Notre société du court terme en action, financière en valeur et au libre et rapide échange sans limite géographique, n’a plus les moyens de nous protéger comme avec ses frontières par exemple. Des flux d’informations sont véhiculés à une telle rapidité, de façon parfois totalement déformés ou sortis de leur contexte, que cela échappe bien souvent à tout un chacun.
J’ai eu l’occasion de travailler pour une PME victime de fuite intellectuelle qui ne comprenait pas pourquoi elle a été victime d’espionnage industrielle et à quelle fin ! Cette petite entreprise avait employé, sans le savoir, une personne qui était infiltrée pour alimenter d’autres entreprises, un réseau international même.
La mésentente avec des collaborateurs a alimenté, voire envenimé les risques de fuites d’informations et de pertes de chiffre d’affaires.
Il s’agit d’un risque humain et non technique!
Un être humain devient responsable d’un risque opérationnel considérable pour une entreprise, risque qui n’a pas été provisionné, même qualifié par l’entrepreneur!
Un être humain… pas un moyen, une machine, un système d’information…
Le recrutement est lui aussi peu encadré surtout dans des zones à risques afin de parfaire la sécurité : seul le casier judiciaire compte, voire des recommandations ! Au risque de choquer certaines âmes sensibles, les centrales nucléaires françaises, pour ne citer qu’elles, sont des nids à risque humain entre les ressources internes et externes.
Une fois n’est pas coutume, l’humain est occulté ! Le cerveau et/ou plusieurs réunis vont réfléchir à ce qu’ils veulent faire, envers qui, avec qui, quand et comment avant de se demander avec quel(s) moyen(s) !
Et cela fait l’objet de beaucoup de discussion, à niveau international même, car s’il a été pensé et étudié d’améliorer des codes, règles, chartes, machines, etc., l’humain commence tout juste à être évoqué, aux États-Unis et ailleurs avec recherche de net-profiling. L’Homme est la cause primaire de la création des méfaits.
Plusieurs personnes, dont je tairai les noms pour le moment, m’ont demandé, pour des besoins nationaux et internationaux, de reprendre mes travaux sur l’analyse du comportement avec option profil des cyber-utilisateurs, soit net-profiling. Ceci fait l’objet de projets déjà en cours et à venir qu’il est question que j’intègre, avec grand plaisir, prochainement.
Un profil caché derrière un écran ne réagira pas et n’agira pas de la même manière qu’un profil sur le terrain, en action devant d’autres individus. La raison principale est que de l’extérieur, la personne n’est pas physiquement sur le territoire du délit et se considère donc protégée puisqu’elle ne peut être visiblement démasquée. C’est ce qu’elle croit.
Il existe des profils de cyber-criminels…
De fait, le net-profil d’un cybercriminel ne peut être comparé au profil de criminel agissant sur le terrain.
C’est une évidence colossale afin de comprendre le comportement de la personne, son mode opératoire et les dérives, voire même signatures qui ne peuvent être comparées à un individu opérant sur le terrain.
Ces cyber-utilisateurs et les cybercriminels se créent bien souvent un avatar qu’ils alimentent à leur guise afin d’aboutir à leur objectif sans limite puisque l’écran les protège. Leurs actions s’en renforcent, rassurées par l’écran, le clavier et leur univers personnel, qu’ils voient comme indestructibles et bien cachés.
La notion de matière intervient avec les moyens que sont justement l’ordinateur, les logiciels, mails, etc.
Mes modestes études de cyber-comportement ont commencé sur certains célibataires inscrits dans des sites de rencontre. J’ai étudié et analysé leurs comportements en me basant sur les profils affichés, leur choix de cible, leur objectif et désir afin de faire les premières lignes de leur net-profil.
C’est impressionnant la différence de comportement qu’ils ont une fois le clavier et l’écran retirés respectivement de leurs mains et yeux. De la même manière, ils ne se reconnaissent pas dans la description que font les cibles. Ces dites-cibles ont d’ailleurs souvent relevé des attitudes identiques concernant le profil analysé.
Sans être forcément des menteurs, ils usent facilement d’invention, de cachoteries, de modification de physique même afin de séduire, se valoriser, aboutir à leur fin. Les profils de ces personnes sont modifiés autant qu’ils peuvent considérer pouvoir cacher ce qu’ils sont réellement et selon ce qu’ils attendent de leur cible.
Ainsi, leur esprit mettra en œuvre leur fantasme selon ce qu’ils considèrent de faisables, véhiculé par un avatar qu’il se crée et modifie au gré de leurs envies. Suivant les profils, l’appât du gain, les retours du jeu exercé sur autrui, l’avatar va prendre une importance plus ou moins importante à les en faire déconnecter de la réalité. Il s’approprie donc tout ou parti de l’avatar qu’ils ont créé. Parfois, il tue leur avatar face à la reconnaissance d’écart à la réalité, pour probablement ne pas se démasquer, face aux autres, mais aussi à eux-même. Et ce dernier point est encore plus révélateur et complexe en analyse comportementale.
Le virtuel peut presque totalement investir la vie d’un être humain caché derrière son écran sous forme d’avatar au profil modifiable, voire interchangeable selon l’humeur, les choix et les envies de son « propriétaire ».
Je suis dans un monde virtuel, je deviens un autre…
Un clic et je ne suis plus le même, je joue un rôle dont j’ai envie ou dont j’ai toujours rêvé ou pour m’amuser… L’incidence n’a pas réellement de place. Seulement le plaisir que l’on en tire!
Le net-profiling naît ainsi puisque des comportements s’analysent sur le net selon leur choix, cible et terrain de « jeu » en e-mode.
Un passionnant challenge puisqu’il sort des sentiers battus n’étant plus sur un terrain palpable et connu, mais quasiment totalement virtuel. A cela, il faut considérer que le comportemental et le profilage ne sont pas encore implantés partout.
Vous l’aurez compris, il est encore plus difficile de profiler un avatar qui sort des règles classiques qu’un être humain dont les schémas permettront de retrouver des repères.
De fait, mettre des moyens en œuvre sans intégrer la compréhension de l’humain, n’autorise pas à sécuriser les données informatiques, systèmes d’informations, communication virtuelle, etc.
Des procédures sont mises en place afin de punir les infractions, lorsque l’on arrive à remonter le flux jusqu’à la cible ! Cible ou un pion parmi d’autres…
Qui dit e-échange avec avatar plus ou moins apparent, dit réseau potentiel… soit networking ! Cela complexifie le dossier puisque le cybercriminel ne se déplace quasiment plus physiquement, mais virtuellement. Autant dire que l’espace utilisé est incontrôlable tant il n’a plus de frontière temps, fatigue ou limite relative à notre schéma terrain.
C’est en effet aussi ce que j’ai constaté sur des affaires criminelles et fraudes aux assurances avec des personnes qui échangent leurs success stories, permettant ainsi de faire « reproduire » leurs actions à d’autres endroits, avec des modes opératoires voire signatures quasi identiques, mais chacun y ajoute sa patte. Si nous parlions dans ce cas de deux signatures pour un mode opératoire « quasi identique » puisqu’il ne s’agit pas vraiment d’imitation ! Qu’en penseraient les criminologues ?
Les avatars se clonent, mais ne se ressemblent pas, ce pour quoi les repères en comportement à collecter et analyser sont différents que ceux des acteurs terrains.
La proactivité permet une protection sur toute action frauduleuse ou criminelle si on arrive à « modéliser » certains cybers comportements… et à enrailler certaines situations.
Je conclurais en citant Solange Ghernaouti, Professeur et Directrice du groupe de recherche Cybersécurité à Lausanne : « Les mesures techniques qui répondent à un problème humain ont ses limites ».
… Pas l’humain
5 comments
Il est extrêmement urgent d’édicter un régime de sanctions pénales très dures (étant donné les faibles risques pris par les cybercriminels) applicables lors d’une fraude avérée commise par un cybercriminel identifié
Nombreuses personnes y travaillent dans le monde avec plusieurs entités sécuritaires.
Pour ma part, mes travaux se concentrent sur la personne derrière l’écran afin de mieux les détecter et appréhender par la suite.
Mes interventions en entreprises sur le sujets sont d’évaluer les risques humains sur ces sujets notamment : on pense toujours à mettre des moyens (caméras, mouchards, etc), mais on occulte que c’est un cerveau qui agit et de fait aucune machine ne l’arrêtera puisqu’il cherchera toujours à les déjouer. En France, cela n’est pas encore bien compris et c’est dommage, car les incidences économiques sont lourdes, pas uniquement pour l’entreprise.
La vitesse de propagation de la technique et la violence engendrée sont telles que les vieux cerveaux ne peuvent plus suivre…
… lol , c’est la-dessus qu’ils comptent aussi:-))
D’où l’importance du net-profiling encore une fois puisque les techniques font de la préventions, mais ne résolvent pas tout et de moins en moins!
Ce pourquoi on me demande de plus en plus de profiler des candidats selon poste, entreprise, produit, etc avec modèle management
merci…je pensais aussi au mien de cerveau, et que vois-je sur votre site : « »Le corps, le visage et la voix disent la vérité : pas forcément celle que vous pensez transmettre. Notre pays se reposent sur des techniques et moyens vieillissants, parfois obsolètes, sans considérer que ce sont tout d’abord des cerveaux qui mettent en œuvre des stratégies pour voler, tuer, détruire, frauder, etc. C’est l’approche intellectuelle qu’il faut travailler », j’avais donc vu juste ! C’est de la synchronicité !