La cybercriminalité est l’un des plus grands risques pour l’économie allemande. Malheureusement, très peu de cas sont encore signalés. Cela contribuerait positivement au taux de résolution des incidents cybernétiques. La police dépend de l’aide des entreprises pour pouvoir stopper les hackers.

En conversation avec Peter Vahrenhorst, chef du surintendant détective au bureau de la police criminelle d’État en Rhénanie-du-Nord-Westphalie. Dans ce rôle, il est également responsable de la prévention de la cybercriminalité.

Comment évaluez-vous la menace actuelle de cybercriminalité pour les entreprises allemandes ?

Il n’existe pas de système classique de notation de 1 à 6 pouvant être utilisé pour l’évaluation. L’économie est très diverse. De nombreux grands acteurs ont leur propre département informatique et sont donc déjà assez bien positionnés. De plus, il existe de nombreuses petites et moyennes entreprises, qui sont bien sûr extrêmement importantes pour l’économie allemande, mais posent un certain problème. Ces entreprises se concentrent sur leur cœur de métier et doivent également s’occuper des tâches informatiques. Dans de nombreuses entreprises, cependant, cela fonctionne très bien, mais dans d’autres, ces compétences en informatique sont insuffisantes. Ainsi, le regroupement est presque impossible, car les conditions sont très différentes. C’est presque comme être dans un magasin général. Certaines entreprises de taille moyenne sont déjà très bien positionnées, tandis que d’autres doivent encore agir.

Y a-t-il une tendance quant aux secteurs ou entreprises particulièrement touchés ?

Je ne nommerais pas explicitement un secteur. Il est certain que les attaques contre une industrie deviennent plus fréquentes. Néanmoins, en tant qu’entreprise, vous ne devriez jamais rester en retrait et compter sur le fait que vous ne rentrez pas dans la grille. L’attaque récente contre l’hôpital universitaire de Düsseldorf en est un bon exemple. À l’origine, l’attaque visait l’université, et sous le même nom, les hackers ont attaqué l’hôpital. Les entreprises ne devraient donc pas compter sur d’autres secteurs concernés. Ce serait un faux sentiment de sécurité.

Peut-on détecter des fluctuations saisonnières ? Y a-t-il une pause estivale pour la cybercriminalité ?

Non, la cybercriminalité n’est pas une activité saisonnière. Il y a eu une sorte de « rupture corona » si l’on regarde la propagation du malware Emotet. Ici, cependant, la période du Corona a principalement servi à améliorer les systèmes et à renforcer le retour sur le réseau. D’un autre côté, cependant, certains cybercriminels ont profité précisément de cette période du coronavirus ou de la phase home office. Il existe un éventail d’auteurs qui agissent de manière complètement différente. Quand certains font une pause, d’autres continuent. Nous ne remarquons pas de « vacances d’été » ni de phase où il y a une impasse.

Comment la situation a-t-elle évolué en général ces dernières années ? Y a-t-il une augmentation des crimes économiques commis par des hackers, ou le nombre diminue-t-il ?

C’est une question difficile, car nous, en tant que policiers, ne pouvons bien sûr qu’évaluer ce qui nous est signalé. Il y a un grand champ sombre. Le comportement de signalement des parties concernées ne reflète pas la réalité. Donc, si l’on ne regarde que les publicités réellement rapportées, nous ne sommes pas assez proches de la situation réelle. De nombreuses entreprises ont des raisons – ou pensent en avoir – pour ne pas aller voir la police. Vous pouvez soutenir cela ou non, mais le nombre de publicités ne correspond pas à la réalité, donc il faut prendre en compte d’autres facteurs pour répondre à cette question.

Une entreprise victime d’une cyberattaque devrait-elle en tout cas informer la police ?

Nous recommandons aux entreprises de signaler tout incident de ce type. Au final, les entreprises ne perçoivent que leur propre dossier. Cependant, il est dit que plusieurs autres entreprises pensent de la même façon. L’individu ne le voit pas, mais pour nous, il existe des contextes importants entre les crimes. Un exemple à illustrer : il y a quelques jours, un e-mail a été envoyé à une entreprise menaçant qu’un engin incendiaire avait été installé dans le bâtiment de l’entreprise et qu’il ne serait pas déclenché si une somme X était payée en Bitcoins. Cependant, plusieurs autres entreprises ont également reçu ce courrier. Les bâtiments furent dégagés et des engins incendiaires fouillés – mais rien ne fut trouvé. L’examen des e-mails a alors montré que le même portefeuille était stocké dans tous les e-mails. L’auteur n’aurait pas pu déterminer quelle entreprise avait payé le montant. En détail, cette compréhension n’aurait pas pu être obtenue. Cependant, étant donné que plusieurs entreprises ont signalé l’incident, il a pu être déterminé que le courrier est sans substance. Pour ces raisons, nous recommandons aux entreprises de contacter la police pour tous les incidents.

Dois-je composer le 110 à la manière classique ?

Il a été démontré que le classique 110 n’est pas la bonne façon pour les entreprises commerciales d’informer la police. Les agents de sécurité font tous du bon travail, mais ils ne sont pas des experts en cybercriminalité. À NRW, il existe une ligne d’assistance 24h/24 et 7j/7 depuis 2011. En utilisant le numéro 0211 / 939 4040, les entreprises peuvent contacter la police et signaler votre urgence cybernétique. Les spécialistes vous recontacteront alors pour coordonner les mesures nécessaires.

Comment la police procède-t-elle dans l’enquête ? La scène de crime est-elle examinée en détail, comme c’est le cas pour tout autre crime ?

Cela dépend certainement du cas. Il y a des problèmes où nous n’avons pas forcément besoin d’être sur place. Par exemple, si une entreprise reçoit un e-mail de chantage, nous n’avons pas besoin d’être sur place. Si, par exemple, une entreprise détecte un programme de chiffrement, comme ce fut le cas pour l’Hôpital universitaire de Düsseldorf, nous sommes sur place et soutenons l’entreprise avec notre savoir-faire afin de limiter les dégâts. C’est une partie essentielle de notre travail policier. Cependant, nous ne décidons pas nous-mêmes de la manière de procéder, mais toujours en consultation avec la partie lésée.

Travaillez-vous en étroite collaboration avec les prestataires de services informatiques et les experts en informatique légale ou amenez-vous vos propres experts avec vous ?

Nous avons nos propres experts. Dans la plupart des cas, cependant, un prestataire de services informatiques est déjà impliqué. Nous travaillons ensuite ensemble en équipe, même si les exigences respectives diffèrent. Dans les cercles spécialisés, cependant, les gens se connaissent, ils connaissent les capacités des autres. C’est donc une bonne coopération.

Donnez-vous ensuite aux parties concernées des conseils pour se protéger d’une cyberattaque à l’avenir ou cela dépasse-t-il votre zone de responsabilité ?

La prévention fait partie du portefeuille de la police. Nous n’assumons aucune prévention technique, ce qui signifie que nous ne donnons pas de conseils sur les ticks ou filtres à régler. Cependant, nous soutenons les entreprises dans la coordination des processus. Les processus jouent un rôle essentiel dans la numérisation et constituent donc une part importante de la prévention. Par-dessus tout, nous conseillons les entreprises sur la manière de réagir correctement et rapidement en cas d’urgence cybernétique. Quoi qu’il en soit, il s’agit d’un domaine préventif que nous, en tant que policiers, couvrons. Dans le meilleur des cas, nous intervenons avant qu’une cyberattaque ne survienne, mais bien sûr, nous apportons aussi un soutien après l’urgence, afin que vous soyez mieux préparé en cas de second incident.

Les entreprises peuvent donc contacter la police pour être informées des risques cybernétiques et de la protection cybernétique ?

Oui, nous offrons cela. Mais bien sûr, il faut considérer l’ordre de grandeur : il y a environ 860 000 entreprises en Rhénanie-du-Nord-Westphalie. Nous ne sommes pas conçus de manière à pouvoir conseiller chaque entreprise. Mais nous essayons d’utiliser des plateformes pour toucher un grand nombre d’entreprises.

Quelles sont les chances actuelles de clarification ?

Ce serait fatal si je disais que nous n’avons aucune chance. Ce serait aussi une erreur. Mais ici aussi, nous ne pouvons nous référer qu’à ce qui est affiché. Selon les statistiques criminelles récemment publiées pour 2019*, nous sommes au-dessus de la moyenne générale avec un taux de résolution de 26 % dans le domaine de la cybercriminalité, donc dans une bonne fourchette.

*Ces statistiques font référence à l’État de Rhénanie-du-Nord-Westphalie

Donc les hackers laissent des traces sur le net qui peuvent être tracées ?

Les hackers font des erreurs et ne sont pas toujours aussi rigoureux dans ce qu’ils font. Nous repérons ces erreurs, ce qui offre de bonnes approches pour finalement les poser. Dans la plupart des cas, les hackers cherchent de l’argent – c’est une autre piste à suivre pour retrouver les cybercriminels. Ce sont des approches que nous poursuivons, comme pour tout autre travail d’enquête. Le travail policier est une tâche sisyphéenne, où l’on relie des points individuels pour finalement atteindre le coupable. Cependant, dans le domaine de la cybercriminalité, on ne travaille pas avec des traces physiques, mais avec des traces numériques.

Y a-t-il une coopération internationale pour traquer les cybercriminels ?

Dans des cas individuels, nous collaborons également avec d’autres pays. Il existe un service européen, d’autres domaines de coopération internationale. Nous voyageons aussi occasionnellement à l’étranger avec nos propres enquêteurs et coopérons avec des collègues locaux pour arrêter un coupable. De plus, il y a des collègues étrangers ici sur place avec lesquels nous travaillons. Cependant, la nature et l’étendue de la coopération varient d’un pays à l’autre. Pour certains, ça marche mieux, pour d’autres moins. En raison de la numérisation, il est devenu normal de dépasser ses propres limites.

Est-il possible de faire des déclarations sur la présence croissante de plus en plus active des hackers d’un certain pays ?

Non, il n’y a pas de focus. Il y a de bons hackers en Russie, il y en a en Israël, en Amérique du Sud, et bien sûr en Allemagne. Il n’est donc pas possible de faire une affirmation générale sur le pays d’origine principale des attaques de hackers. Ici aussi, ce qui suit s’applique : les auteurs sont en mouvement à l’international.

Pouvez-vous citer une période pendant laquelle un incident cybernétique est résolu en moyenne ?

La plage est grande, il n’existe pas de moyenne valide à tirer. Vous pouvez arrêter le coupable en une semaine, ou vous pouvez travailler sur un complexe de crimes pendant trois ans sans le résoudre.

Enfin – la question de Tatort : une trace numérique est-elle froide à un moment donné ?

Il y a cette déclaration : « Après 48 heures, les traces sont froides ». En général, ça ne fonctionne pas comme ça. La réalité du travail policier est différente. Même dans le cas des infractions de meurtre, des temps de détention plus longs surviennent et l’auteur est finalement arrêté malgré tout.