Gil Delille, directeur des risques IT au Crédit Agricole, rappelait récemment que le nombre annuel de hold-up en France, qui était de l’ordre d’un millier au début des années 2000, est tombé à quelques dizaines par an depuis 2010. Pourquoi prendre des risques physiques et s’attirer de lourdes peines, quand on peut voler des sommes considérables sans bouger de son fauteuil ? Les malfaiteurs d’aujourd’hui l’ont bien compris. Résultat : la cyberfraude a rejoint la fraude au fournisseur en termes d’occurrences (étude DFCG/Euler Hermes, Mars 2018). Ses ravages se comptent en milliards d’euros, d’après le Parquet de Paris.

Fraude externe et cyberfraude sont désormais presque toujours associées. Car pour générer des profits décrits par Interpol comme supérieurs au trafic de stupéfiants, les criminels utilisent les méthodes et les moyens des professionnels d’aujourd’hui.

Des études de marché rondement menées

La première étape consiste le plus souvent à scanner le web pour repérer les cibles les plus vulnérables. Ce travail est complètement automatisé, et ce sont des millions de requêtes qui sont ainsi envoyées, comme l’explique le DSI de l’éditeur Cegid, Sylvain Moussé : «Leurs robots scannent sans relâche l’Internet visible et invisible à la recherche des failles de sécurité connues. Les entreprises qui n’auraient pas appliqué les correctifs les plus récents seront attaquées en priorité.» De fait, on estime qu’une grande partie des cyber-attaques avérées ont exploité des faiblesses de logiciels ou de matériels qui auraient pu être protégées si elles avaient bénéficié des correctifs (les patches mis à disposition par les éditeurs).