Cybersécurité
Nous sommes tous, ou nous avons tous été un jour ou l’autre confrontés à des situations inconfortables devant notre ordinateur , nos écrans qu’il s’agisse d’un PC, d’un smartphone ou d’une tablette. Une ingérence extérieure qui se manifeste sur nos écrans, dans notre boîte mail ou nos sms. Ces situations nous interpellent parce qu’elles sont ou soit nouvelles ou très intrusives et souvent sophistiquées parce que conçues par des escrocs très imaginatifs.
L’effet de surprise est tel que nous n’en comprenons pas le contenu mais nous pressentons qu’elles sont porteuses de dangers . On peut alors céder à la panique et tomber dans des pièges qui nous sont tendus. Alors pour aider les internautes, pour les épauler, les autorités ont mis en place une plateforme en ligne qui fonctionne 7 jours sur 7 en lien avec la police ou la gendarmerie.
Comment s’appelle -t-elle et comment cela fonctionne ?
Elle s’appelle 17 CYBER, et il est conseillé de s’y intéresser, de s’y connecter à froid si je puis dire, pour s’y familiariser. C’est un prolongement du 17 (police secours) mais dédié au numérique, pour aider les gens face à des attaques numériques, une sorte de guichet unique. Il oriente les utilisateurs vers les démarches à entreprendre, les plateformes éventuelles vers lesquelles se tourner (Pharos, Thésée…) et les interlocuteurs à contacter.
Concrètement, à qui a-t-on à faire et pouvez-vous nous décrire les cas dans lesquels on peut utiliser cette plateforme ?
La plateforme, disponible en permanence, délivre un diagnostic grâce à un questionnaire. L’internaute doit tout d’abord préciser son statut (particulier, entreprise, administration…), identifier le problème (SMS reçu, téléphone mobile, site Internet…) puis les caractéristiques de l'acte de malveillance (suspicion de la présence d’un virus, piratage de compte, contenu du message malveillant…). Une fois ces réponses validées, 17Cyber émet son diagnostic, tel l’hameçonnage, un virus, etc. Il dispense ensuite des conseils. La page de résultat décline en effet diverses actions visant à trouver une solution technique mais aussi à se défendre à la suite de cette attaque (déposer plainte, changer de mot de passe, signaler les messages suspects au 33700, faire appel à un prestataire…).
Pouvez-vous nous expliquer les situations précises dans lesquelles l’internaute se retrouve un peu piégé ?
Elles sont très variées.
Cela peut concerner un piratage de compte en ligne ou bien des messages suspects ou malveillants qu’on a du mal à décoder, une arnaque au faux support technique (un message sur votre écran que votre ordinateur a été piraté ), ou bien vous êtes en train d’être piégé par un faux conseiller bancaire, ou pire vous êtes harcelé en ligne, une fraude sur un virement bancaire ou un faux RIB.
Ce sont des exemples, ils ne sont pas limitatifs puisque les escrocs très imaginatifs , pendant que je suis en train de vous parler sont en train de fabriquer la nouvelle arnaque de la semaine. Cette délinquance de cybercriminalité est telle que notre Association a créé un guide des arnaques sur son site Internet et nous le mettons à jour régulièrement.
Donc si je comprends bien cette plateforme 17 CYBER est une sorte de SOS ARNAQUES ?
Tout à fait , elle réalise un diagnostic, et émet des recommandations de comportement à adopter et guide l’internaute vers les interlocuteurs utiles.
Cette plateforme peut elle être utilisée pour d’autres besoins ?
Oui, pour permettre à l’internaute d’effectuer un signalement de contenus illicites, une escroquerie rencontrée.
Elle est aussi une plateforme de consultation pour connaître les bonnes pratiques et recevoir les bons conseils, à froid quand on n’est pas dans l’urgence et qu’on veuille progresser dans la connaissance des actes de malveillance numériques.
Quand vous en parlez , on peut penser qu’il faut être informaticien ou expert pour l’utiliser ?
Non, pas du tout , c’est un jeu d’enfant, il suffit de s’y connecter, de se familiariser pour savoir qu’en cas d’urgence ensuite on peut y avoir recours.
Enfin, on peut y déposer plainte.
Dans des cas un peu tordus ou très sophistiqués , peut-on disposer d’experts ?
La grande nouveauté: pour onze menaces, jugées particulièrement préoccupantes, l’internaute a la possibilité de tchater avec un gendarme ou un policier « pour disposer des conseils de première urgence et engager les démarches de judiciarisation », comme le souligne le site Cybermalveillance. Deux plateformes existent pour l’instant, l’une de policiers à Bordeaux, et l’autre de gendarmes, à Rennes. Ils sont disponibles 24 heures sur 24 et 7 jours sur 7. " Il s’agit d’agents spécialisés, qui ne font que ça. Lors d’une mise en relation, ils voient s’afficher les informations sur la menace de l’internaute, afin d’être les plus efficaces possible".
Pour conclure, quels conseils pratiques donneriez-vous?
Il est vrai que la cybercriminalité est un terme qui fait peur. L’internaute peut ressentir que ces situations sont une sorte de conflit entre le pot de fer contre le pot de terre. Il faut démythifier la chose, prendre le temps calmement à froid, d’éveiller sa curiosité sur ces pratiques de malveillance, se les approprier en termes de connaissances, de se familiariser à cet outil pour savoir qu’en cas d’urgences extrêmes , il existe des aides possibles pour bien s’en défendre.
Coordonnées de l'association:
06.50.00.77.31 ou soslitiges 58@gmail.com. N’hésitez pas comme 80.000 autres internautes à visiter notre site Internet, en tapant sur votre moteur de recherche SOS LITIGES 58 , vous y trouverez entre autres un guide des arnaques mis à jour selon les situations que nous avons rencontrées avec nos adhérents. Nous expliquons le mécanisme de l’escroquerie et nous formulons des conseils adaptés.
Philippe Fuzellier
Président de SOS Litiges 58 sur RCF 58 le 21/03/2025
Hiscox : « Il n’est plus question de savoir si les JO seront cyberattaqués, mais quand et comment ».
15 000 athlètes, 40 000 employés et partenaires, jusqu’à 20 compétitions simultanées mais les Jeux olympiques de Paris risquent de s’accompagner de quatre milliards de cyberattaques. Le risque cyber est plus que jamais une réalité. Interrogé par l'Argus de l'assurance Benjamin Langlet, responsable cyber chez Hiscox en France évoque les dispositions que les entreprises devront prendre pour traverser cette période.
Benjamin Langlet, responsable cyber chez Hiscox en France
Les Jeux Olympiques vont s’accompagner d’une recrudescence des cyberattaques, a-t-on une estimation ?
Benjamin Langlet : Il n’est plus question de savoir si les Jeux seront cyberattaqués mais bien quand et comment, et si les solutions imaginées sont fiables. Les derniers JO à Tokyo ont subi près de 450 millions d’attaques. Aujourd’hui, les experts pensent que les JO de Paris devraient subit entre 8 à 10 fois plus d’attaques. Sans compter que le contexte géopolitique tendu alimente également la cybercriminalité.
Quelle cible sera la plus visée ?
Benjamin Langlet : Il y a deux enjeux pour les groupes de cyber attaquants :
- La couverture médiatique des évènements va attirer les cyberattaquants qui veulent se faire voir et montrer qu’ils ont une force de frappe très importante. Ils vont également chercher à déstabiliser le pays hôte et l’organisation des jeux en eux-mêmes. Ils vont cibler les services de l’État et les entreprises.
- Il y a aussi l’effet d’aubaine et d’opportunité pour les hackeurs. La taille de l’évènement et les enjeux financier leur donne un moyen de pression sur les entreprises qu’ils vont attaquer notamment par des ransomwares.
Quels sont vos recommandations en tant qu’assureur ?
C’est le moment d’activer la prévention. Les entreprises doivent commencer à mettre en œuvre les dispositifs de prévention dès maintenant et les poursuivre pendant ces jeux avec des mesures très simples comme la mise à jour régulière des logiciels et systèmes. Faire des stress test pour les entreprises et surtout former les collaborateurs. On peut se dire que les entreprises françaises ayant réussi à passer entre les gouttes des cyberattaques liées aux JO de Paris 2024, mériteront d’être médaillées tout autant que les athlètes.
2023 était plutôt une bonne année, avec une sinistralité en recul. L’aggravation du risque, c’est à la dire la multiplication des cyberattaques, peut-elle s’accompagner d’un retrait des assureurs du cyber ?
Benjamin Langlet : La sinistralité est en recul. Les actions menées par le passé sur le marché portent leurs fruits, notamment sur les grandes entreprises qui ont les moyens d’investir en prévention. Ce n’est pas le cas des PME, TPE qui n’ont pas forcément la surface financière pour. C’est pourquoi le marché de l’assurance s’est adapté en termes de produits et de primes. Chez Hiscox nous continuions d’accompagner nos assurés sans augmenter la liste des prérequis de façon déraisonnable pour garder l’accessibilité à notre offre.
Il est vrai que l’on sait que 2024 va s’accompagner d’une augmentation de la fréquence des sinistres. Pour autant, on remarque qu’en 2023, les entreprises ont pris le pas sur la cybersécurité parce que malgré l’augmentation de fréquence, l’intensité s’est réduite. Chez Hiscox, nous ne durcirons pas nos conditions de souscription du fait des Jeux olympiques.
Nous pouvons d’ores et déjà prévoir une augmentation de la consommation des prestataires de remédiation. Mais la prévention est clef car si les entreprises sont préparées, il est clair que les conséquences d’une cyberattaque seront moindres que si elles découvrent le risque au moment de l’attaque.
Le marché de la remédiation cyber est-il aujourd’hui suffisamment dimensionné pour faire face à la recrudescence des cyberattaques ?
Benjamin Langlet : C’est quelque chose que nous avons pris au sérieux il y a plusieurs mois pour vérifier que nos prestataires sont dimensionnés, prêt et en mesure de fournir une qualité de service à la hauteur de nos promesses de marque.
Quels sont les risques qui pèsent sur les assurés ?
Benjamin Langlet : Les entreprises cyberattaquées peuvent subir une interruption de leurs activités dans le cadre des JO. Au regard du rebond économique attendu du fait des JO, la perte d’exploitation peut se traduire par un manque à gagner important pour l’entreprise.
Les entreprises risquent également d’être le point d’entrée d’une cyber attaque d’une plus grande ampleur visant à toucher de plus grosses structures. En effet, les très grosses entreprises qui ont répondu aux appels d’offres des JO sont préparées pour ce type de scénario. Les attaquer sera donc plus compliqué. Par contre, leurs sous-traitants peuvent être moins préparés. Ils sont plus facilement attaquables et peuvent constituer une porte d’entrée. Dans ce cas, les entreprises seront touchées dans leur activité mais surtout leur responsabilité peut se voir engagées surtout si elles ont eu un impact sur le bon déroulé des JO ou d’une épreuve. Il y a un risque tant sur le volet cyber que sur le volet responsabilité civile professionnelle dès lors qu’on est dans le cadre d’un engagement contractuel.
Des usurpations possibles
Pratique, rapide et sûre, cette solution permet d’apposer sa signature sur des documents à distance. Mais des vendeurs malintentionnés parviennent à la détourner pour que des consommateurs signent contre leur gré.
Depuis quelques années, apposer son nom de façon manuscrite au bas d’une feuille de papier n’est plus la seule façon de signer un document. Que vous souscriviez un abonnement, achetiez un bien, validiez un devis ou d’autres actes de la vie courante, vous pouvez aussi donner votre consentement officiel de manière totalement dématérialisée. Il faut dire que la signature électronique a l’avantage, pour les sociétés qui y ont recours, d’éviter la paperasse, de limiter les manipulations et de réduire les délais. Plus besoin d’imprimer un contrat, par exemple, de l’envoyer par courrier et d’attendre le retour du destinataire. Tout se fait en ligne en quelques instants. En outre, le système va jusqu’à relancer les signataires et archiver automatiquement les pièces traitées.
La signature électronique est entrée dans le droit français en 2000, lorsque le législateur lui a accordé une valeur juridique identique à celle manuscrite. Depuis, elle s’est développée à son rythme, avant de connaître une accélération fulgurante en 2020, au gré des confinements. Beaucoup de professionnels ont alors vu en elle un bon moyen de continuer à obtenir la souscription de contrats à distance. Résultat : en 2021, 26 % des entreprises auraient instauré une procédure de signature électronique, faisant le bonheur de spécialistes tels que Yousign, Signaturit, DocuSign ou encore Docaposte. Et ce n’est pas terminé !
PROCESSUS TRÈS VARIABLES
Pour être valable aux yeux de la loi, une telle signature doit répondre à deux objectifs. Premièrement, certifier que la personne qui signe est bien celle censée le faire – il faut, par conséquent, que son identité soit vérifiée. Deuxièmement, garantir une inaltérabilité du document une fois émargé, autrement dit l’impossibilité de le modifier. Cependant, les textes n’indiquent rien sur les procédures à mettre en place afin de s’assurer que ces deux conditions sont bien remplies.
Chaque prestataire demeure libre d’employer les outils qu’il veut. À charge pour lui, en cas de litige, de prouver que les obligations liées à la signature électronique ont bien été respectées. Les entreprises souhaitant y recourir ont aussi la liberté de sélectionner, parmi les systèmes qui leur sont proposés, celui qui leur convient le mieux, en fonction des types de documents à signer. « Le choix d’une solution dépend du risque juridique encouru en cas de contestation de la signature. En effet, si on utilise un horodatage qualifié, l’intégrité des documents ne fait pas débat, explique Christian Dayaux, directeur grands comptes chez Universign, devenu Signaturit. Dès lors, plus ce risque est élevé, plus les sociétés ont intérêt à mettre en œuvre des processus solides qui certifient l’identité du signataire. »
Si, en théorie, le simple fait de cocher une case en fin de contrat ou de cliquer sur un bouton « Je signe » peut valoir signature, en pratique cela n’offre qu’un faible niveau de sécurité aux entreprises. Pour donner un peu plus de poids à cet émargement numérique, il n’est donc pas rare qu’elles lui adjoignent un système de code. Le client reçoit sur son téléphone, au moment de signer, un numéro unique qu’il est invité à reporter au bas du document. « Cette procédure ajoute un faisceau de preuves qui peut suffire, pour les contrats les plus courants, à convaincre la justice que la personne en question est bien celle qui devait signer », précise Frédéric Ollivier, responsable chez Docaposte. Cela étant, concernant des documents qui engagent plus sérieusement – offres de prêt, achats immobiliers, investissements importants… –, il y a intérêt à se tourner vers des procédés intégrant des contrôles d’identité encore plus poussés. Ainsi, certains clients se voient demander une copie de leur carte d’identité, voire des photos d’eux-mêmes sous différents angles.
TROP FACILE À CONTOURNER
Techniquement, les processus de signature électronique des principaux prestataires sont solides. Grâce aux nombreuses sécurités mises en place, il est difficilement envisageable qu’un pirate pénètre dans le système pour usurper une signature. Par contre, le contourner reste un jeu d’enfant… Marie-Christine en a fait les frais. En octobre 2021, cette jeune retraitée, veuve depuis peu, répond à une annonce lui proposant une pompe à chaleur pour 1 €. Quelques jours plus tard, un commercial se présente à son domicile. « Après m’avoir posé quelques questions, il me dit que je ne suis pas éligible à l’offre à 1 €, mais que je dois pouvoir bénéficier d’aides gouvernementales. Afin de s’en assurer, il effectue une simulation pour laquelle il me demande de lui communiquer les codes reçus sur mon téléphone », se souvient-elle. Finalement, le vendeur lui promet que l’État lui remboursera 10 400 € sur les 18 900 € que lui coûtera sa pompe à chaleur, soit 55 % du montant total. Marie-Christine signe un contrat papier et, peu de temps après, des techniciens procèdent à l’installation de l’équipement. Sauf qu’il ne fonctionne pas correctement, et que la consommation d’électricité s’avère plus élevée que ce qu’on lui avait annoncé… Surtout, Marie-Christine n’a aucune nouvelle des subventions publiques. En étudiant son dossier, l’association locale UFC-Que Choisir d’Épinal (88), dont elle a sollicité l’assistance, découvre que l’entreprise n’est pas labellisée RGE. Les travaux réalisés ne donnent donc pas droit aux subsides de l’État ! Le bénévole en charge de son affaire constate également qu’en livrant les fameux codes, Marie-Christine n’a pas participé à une simulation comme elle le pensait, mais signé électroniquement une offre préalable de crédit… Si elle ne s’en est pas rendu compte, c’est notamment parce qu’elle n’a reçu aucun document contractuel lié à ce prêt – en particulier aucun bon de rétractation, pourtant obligatoire lors d’une vente hors établissement. Et pour cause, l’adresse e-mail indiquée n’avait rien à voir avec la sienne. Le commercial en a transmis une autre à laquelle il avait lui-même accès, et grâce à laquelle il a pu signer à la place de la cliente !
DES CENTAINES DE CAS SIMILAIRES
À en croire l’association locale d’Épinal, qui a soulevé le lièvre, la mésaventure de Marie-Christine est loin d’être unique. « Nous avons déniché des centaines de cas similaires, dans les domaines de la rénovation, de la vente en ligne, de la formation, du crédit à la consommation ou encore des mutuelles », assure l’un de ses militants. Alors, si ce phénomène demeure aussi méconnu, c’est en partie parce que la plupart des victimes n’ont pas conscience d’avoir été abusées. Certaines, à l’instar de Marie-Christine, étaient d’accord pour signer le contrat, mais pas dans ces conditions… En procédant comme il l’a fait, le commercial n’a respecté ni son devoir d’information ni le droit de la consommatrice. C’est également et surtout lié au fait que les sociétés, une fois confrontées à l’évidence, préfèrent généralement annuler le contrat litigieux plutôt que de prendre le risque que l’affaire s’ébruite. En attendant, pas vu, pas pris !
Les trois types de signature électronique
Le règlement européen eIDAS définit les différentes signatures utilisables par les professionnels.
La simple. C’est la plus répandue, car la plus facile à mettre en place et la moins coûteuse pour les entreprises. Le fait de cocher une case pour donner son consentement, de signer avec le doigt sur une tablette ou d’entrer un code unique peut valoir signature. Mais, en cas de contestation, le professionnel aura du mal à prouver l’identité du signataire. Elle est donc réservée aux documents à faible risque juridique : contrat simple, ouverture de compte bancaire, mandat Sepa, etc.
L’avancée. Elle répond à certaines exigences et garantit l’identité du signataire, qui fournit, notamment, une copie de ses papiers. On l’utilise pour les contrats d’assurance vie, par exemple, ou les compromis de vente immobiliers.
La qualifiée. L’identité du signataire est vérifiée en face-à-face ou dans des conditions de sécurité similaires. On la réserve aux documents engageants fortement, tels les actes authentiques, les gros investissements…
Pratique • Valeur de la signature
Comment savoir si ma signature a été usurpée ?
Une société assure que vous avez signé un contrat par voie électronique, mais vous n’avez reçu aucun document d’elle par courriel ? Vous êtes peut-être victime d’une fraude. Récupérez le fichier de preuves de la signature. Il répertorie adresses e-mail et IP, numéro de téléphone, horodatage de chaque étape, etc. Si les coordonnées et IP indiquées ne sont pas les vôtres, et que le document a été signé quelques secondes après son ouverture, vous disposez d’éléments prouvant l’usurpation.
De quelle manière obtenir le fichier de preuves ?
L’entreprise auprès de laquelle le contrat a été signé est censée vous le fournir. Si elle refuse, contactez le prestataire technique (Yousign, Signaturit, Docaposte, etc.). Certains le transmettent sur simple demande, d’autres seulement sur requête des autorités.
Quels sont mes recours ?
En cas de démarchage, et si les faits datent de moins d’un an, utilisez votre droit de rétractation. Au-delà, vous devrez certainement engager une procédure pour abus de confiance ou usurpation d’identité. Quoi qu’il en soit, joignez la société qui a reçu votre signature. Au vu du fichier de preuves, la plupart préfèrent annuler le contrat.