Les cybercriminels s’attaquent de plus en plus souvent aux entreprises. Et bien qu’ils utilisent la technologie pour le faire, l’humain joue un rôle important, tant en attaque qu’en défense. Mark T. Hofmann est un spécialiste reconnu et respecté. Il nous a donné une interview passionnante sur la cybersécurité.
D’où vous vient votre intérêt pour la cybercriminalité et le profilage des criminels ?
Avec le recul, je me rends compte que je me suis intéressé très tôt au comportement des gens, même si je n’en avais pas conscience quand j’étais enfant. Je me souviens qu’un jour, à l’âge de six ans, j’attendais devant le marchand de glaces avec mes parents. Pour tromper l’ennui, j’essayais de deviner ce que les clients devant nous allaient commander en me basant sur leur comportement : des parfums traditionnels comme le chocolat ou plutôt des saveurs originales ? Le premier livre que j’ai lu parlait du langage corporel : je voulais comprendre le langage du corps et repérer les détails qui révèlent quelque chose sur les gens.
On appellerait ça du « profilage prédictif » de nos jours. Je m’y consacre aujourd’hui à un tout autre niveau. Ma démarche est plus ciblée et beaucoup plus professionnelle. Elle revêt, en outre, une finalité sociale.
Mark T. Hofmann est analyste de la criminalité (profiler) et psychologue en entreprise. Il s’est rapidement intéressé au côté obscur de la discipline : psychopathie, narcissisme, criminalité en col blanc, etc. Cet expert en profilage de renommée internationale se concentre sur le profilage comportemental et le cyberprofilage. Il est devenu une source d’inspiration aux quatre coins du monde. Il a rencontré et interviewé des hackers, notamment des auteurs dont les méfaits n’ont jamais été mis au jour. Sa fonction de profiler l’amène à établir le profil de criminels dans le monde physique, mais aussi en ligne.
Pouvez-vous nous en dire plus sur le mode de pensée des cybercriminels ?
Avant de se demander pourquoi les cybercriminels agissent de la sorte, il faut se demander qui ils sont. Fait intéressant : il s’agit presque toujours d’hommes, souvent âgés de moins de 30 ans, bien éduqués et dotés d’une intelligence supérieure à la moyenne. Une différence notable par rapport au reste de la criminalité, caractérisée par une intelligence moyenne et un faible niveau de qualification.
C’est fascinant, car les cybercriminels n’agissent donc pas pour l’argent : avec leurs compétences, ils pourraient travailler pour des entreprises comme Tesla, Google ou Amazon, avec un généreux salaire à la clé. Ce n’est donc pas l’argent qui les motive, mais l’adrénaline. Ils le font parce qu’ils en ont les moyens. Et quand ils agissent pour l’argent, il faut toujours chercher le véritable motif de leur acte. Ils ont souvent bien assez d’argent, auquel cas leur motivation pourrait être la cupidité.
Qu’est-ce qu’un ransomware, ou rançongiciel ?
En cas d’attaque par rançongiciel, votre ordinateur, vos systèmes et vos données sont chiffrés et plus rien ne fonctionne. Vous voyez généralement un écran rouge vous indiquant que vous avez été piraté et que vous devez payer une rançon pour récupérer vos données et restaurer vos systèmes. Si vous ne payez pas, vos données peuvent être vendues sur le dark web.
Quelles sont, d’après vous, les principales cybermenaces actuelles ?
Difficile de répondre à cette question ; tout dépend de votre secteur d’activité. Si je devais vraiment répondre, je dirais que ce sont les rançongiciels. Ce qui soulève d’emblée une autre question : comment un rançongiciel atteint-il une entreprise ? On constate que le problème fait toujours suite à une action humaine : une personne a qui a partagé un mot de passe par téléphone, cliqué sur un mauvais lien ou téléchargé une pièce jointe. On parle de social engineering : manipuler les gens pour les amener à faire quelque chose qu’ils ne devraient pas faire. Les cybercriminels en profitent.
Mais la principale cybermenace varie d’un secteur à l’autre. On distingue généralement quatre types de menaces :
- les black hat hackers, ou hackers malintentionnés (des individus) ;
- le Crime-as-a-Service : un groupe ou une structure criminel(le) attaque votre entreprise ;
- l’espionnage ;
- le cyberterrorisme.
Si vous êtes actif dans un secteur d’importance stratégique comme l’énergie ou les infrastructures, la principale menace réside probablement dans le cyberterrorisme. Pour les entreprises générales, les rançongiciels constituent actuellement la plus grande menace. Si vous travaillez dans l’industrie de l’armement ou la construction aéronautique, par exemple, c’est peut-être l’espionnage qui représente le plus grand risque.
Quelle forme revêtira la cybercriminalité dans 5 ans, d’après vous ?
Encore une question complexe… De nouvelles menaces émergent, mais aussi de nouvelles solutions. Le « Crime-as-a-Service » devrait gagner du terrain dans les années à venir. Le principe ? Vous pouvez, par exemple, louer un rançongiciel et l’utiliser pour perpétrer une cyberattaque. Vous utilisez un logiciel existant et vous rétribuez un pourcentage de votre butin à la personne à qui vous avez loué le logiciel. Le nombre de personnes susceptibles de commettre des actes de cybercriminalité augmente donc considérablement. Alors qu’il y a 30 ans, il fallait des connaissances informatiques approfondies, aujourd’hui, toute personne ayant de bonnes connaissances de base en informatique peut utiliser ce type de plateforme.
L’évolution du deep fake constitue, par ailleurs, une menace de plus en plus pressante. Cette technologie permet de trafiquer une voix ou une image de manière à ce qu’elle ressemble tellement à l’originale qu’elle en devient crédible. Cette forme de cybercriminalité permet de gagner la confiance d’une victime par téléphone ou vidéo à des fins de manipulation.
Les progrès sont heureusement constants dans la lutte contre la cybercriminalité. Exemple très intéressant dans le domaine du cyberprofilage : la linguistique médico-légale. Nous savons tous que l’ADN et les empreintes digitales peuvent servir à identifier des cybercriminels. À l’avenir, la linguistique médico-légale nous permettra d’identifier une personne sur la base d’une page de texte. Cette espèce d’empreinte digitale linguistique s’avère très intéressante dans la mesure où les cybercriminels utilisent souvent la langue et le texte pour commettre leurs crimes.
Que peuvent faire les autorités pour combattre plus efficacement la cybercriminalité ?
Quand on remonte à la source de la cybercriminalité, on se rend compte que la plupart des hackers commencent entre 10 et 15 ans. Ils s’y connaissent en informatique et veulent avoir le sentiment d’être importants, de compter. Le problème vient du fait que la plupart des organisations ne prennent pas les enfants de 10 ou 12 ans au sérieux. Jusqu’à ce qu’ils attaquent une entreprise, évidemment… Ils font alors subitement l’objet d’une plus grande attention.
Je pense donc que les gouvernements devraient tout mettre en œuvre pour offrir à ces profils la possibilité de développer leurs compétences et de les utiliser à bon escient. Dans de nombreux pays, les jeunes de cet âge n’ont pas accès à des cours d’informatique à l’école : c’est une occasion manquée. Ils débarquent donc, en toute logique, sur les médias sociaux et le dark web, où ils affinent leurs talents.
Les gouvernements devraient, par exemple, pouvoir organiser des cyberdéfis destinés à ces jeunes prodiges de l’informatique. S’ils parviennent à craquer un code ou à pirater un système, ils gagnent une visite guidée, un stage ou un autre cadeau du même genre. La NSA (National Security Agency, aux États-Unis) mise déjà sur cette approche et parvient ainsi à ce que les jeunes exploitent leurs compétences informatiques dans un but louable.
Que conseillez-vous aux entreprises désireuses de renforcer leur cybersécurité ?
D’après moi, la cybersécurité doit associer la technologie à un pare-feu humain. Vous avez beau disposer de la technologie la plus au point du monde, si un cybercriminel vous appelle et vous amène à lui dévoiler votre login et votre mot de passe, vous avez un problème… Il n’y a pas de technologie contre ça. De nombreuses entreprises sont fières de la technologie qu’elles déploient pour sécuriser leurs systèmes, mais elles n’imaginent pas un seul instant que les hackers prennent tout simplement des photos de l’écran et utilisent les données pour leur nuire.
Comment les entreprises peuvent-elles former leurs collaborateurs pour qu’ils deviennent un pare-feu humain ?
Je déconseille aux entreprises de former elles-mêmes leurs collaborateurs. On constate que les services informatiques et les travailleurs n’entrent en contact qu’en cas de dysfonctionnement d’un système ou de mauvaise manipulation humaine. L’informatique a donc souvent une image négative au sein des entreprises. Et la cybersécurité n’arrange rien. En général, les formations internes n’intéressent que les collaborateurs qui s’y connaissent déjà.
Je conseillerais plutôt aux entreprises d’y apporter un côté divertissant et de faire appel à des externes pour motiver leurs collaborateurs. Elles attireront ainsi des personnes pour qui la cybersécurité n’a en principe pas d’intérêt ou n’est pas une priorité. Les premiers points de contact avec une entreprise sont généralement la secrétaire ou les collaborateurs de la réception, qui n’ont bien souvent pas énormément de notions de cyberpsychologie ou de social engineering. Essayez de susciter l’intérêt de tous pour la cybersécurité. C’est le seul moyen de créer un pare-feu humain dans votre entreprise.
Inscrivez-vous pour plus d'inspiration*
Découvrez des interviews, des podcasts et d'autres contenus
Soyez invité à des webinaires, des salons et des événements de réseautage
Télécharger des livres électroniques et des livres blancs
* Nous vous enverrons régulièrement par e-mail du contenu. Vous ne recevrez pas de messages ou de propositions commerciales. Vous pouvez vous désabonner à tout moment, ou modifier vos préférences grâce au lien figurant au bas de chaque e-mail. En vous inscrivant, vous acceptez la politique de confidentialité de Telenet.