Signe notable des temps, la cybercriminalité a désormais dépassé toutes les autres formes de criminalité au Royaume-Uni, Agence nationale du crime (NCA) a mis en garde dans un nouveau rapport. On ne sait toujours pas à quel point le reste du monde suit de près l’expérience du Royaume-Uni, mais le rapport rappelle aux lecteurs que le problème est probablement bien pire que ne le suggèrent les chiffres, notant que la cybercriminalité est largement sous-déclarée par les victimes.
Les NCA Évaluation de la cybercriminalité 2016, publié le 7 juillet 2016, souligne la nécessité de renforcer les forces de l’ordre et les partenariats commerciaux pour lutter contre la cybercriminalité. Selon la NCA, la cybercriminalité est apparue comme la plus grande proportion de la criminalité totale au Royaume-Uni, la «fraude cybernétique» représentant 36% de tous les crimes signalés et l ‘«utilisation abusive de l’ordinateur» représentant 17%.
Une explication de la croissance des signalements de cybercriminalité au Royaume-Uni peut être que les Britanniques s’améliorent pour le suivre. Le rapport note que l’Office of National Statistics du Royaume-Uni n’a commencé à inclure la cybercriminalité pour la première fois que l’année dernière dans son enquête annuelle sur la criminalité en Angleterre et au Pays de Galles.
« L’ONS a estimé qu’il y avait eu 2,46 millions de cyberincidents et 2,11 millions de victimes de cybercriminalité au Royaume-Uni en 2015 », ont écrit les auteurs du rapport. « Ces chiffres mettent en évidence le manque évident de rapports établis, avec seulement 16 349 cyber-incidents dépendants et environ 700 000 cyber-incidents signalés à Action Fraud au cours de la même période. »
Le rapport se concentre également sur la sophistication croissante des gangs de cybercriminels organisés qui développent et déploient des logiciels malveillants complexes et ciblés, tels que Dridex et Dyréqui visent à vider les comptes bancaires des particuliers et des entreprises au Royaume-Uni et ailleurs.
Aviva Litanun analyste de la fraude avec Gartner Inc.a déclaré que les cyber-escrocs au Royaume-Uni font de leur mieux lorsqu’ils ciblent les banques britanniques, qui exigent généralement des mesures de sécurité bien plus strictes pour les clients que les banques américaines, y compris les cartes à puce et les jetons à usage unique.
« J’entends certainement plus parler d’attaques avancées contre les banques britanniques qu’aux États-Unis », a déclaré Litan, ajoutant que les mesures anti-fraude mises en place par les banques britanniques ont forcé les cybercriminels à se concentrer davantage sur l’ingénierie sociale. Clients britanniques des banques de détail et commerciales. .
Litan a déclaré que si les gangs de cybercriminalité organisés préfèrent s’en prendre aux banques, aux entreprises et aux consommateurs britanniques, cela pourrait avoir plus à voir avec la commodité des fraudeurs qu’autre chose. Après tout, a-t-elle dit, Londres n’a que deux fuseaux horaires derrière Moscou, alors que le fuseau horaire le plus proche aux États-Unis a 7 heures de retard.
« Dans la plupart des cas, les banques britanniques sont assez proches du fuseau horaire du fraudeur, c’est une langue que les criminels peuvent parler, et ils ont étudié de près les systèmes des banques et savent comment contourner les contrôles de sécurité », a déclaré Litan. « Ce n’est pas parce que vous avez plus de contrôles contre la fraude que les fraudeurs ne peuvent pas les battre, cela oblige simplement le [crooks] pour rester au top de leur jeu. Pourquoi voudriez-vous rester éveillé toute la nuit à commettre des fraudes en ligne contre des banques aux États-Unis alors que vous préférez boire un verre avec vos copains ? »
Le rapport observe que « malgré la croissance de l’échelle et de la complexité de la cybercriminalité et l’intensification des attaques, les dommages et les pertes visibles n’ont pas (encore) été suffisamment importants pour avoir un impact à long terme sur la valeur actionnariale. Le Royaume-Uni n’a pas encore connu de cyberattaque contre des entreprises aussi dommageable et publiquement visible que l’attaque contre la chaîne de distribution américaine Target.
Bien qu’il soit probablement difficile pour une grande multinationale européenne de dissimuler une violation d’une ampleur similaire à celle de 2013 chez Target, les pays européens n’ont généralement pas eu à adhérer aux mêmes lois sur la divulgation des violations de données qui sont actuellement en vigueur. dans presque tous les États américains – des lois qui incitent plusieurs entreprises américaines chaque semaine de reconnaître publiquement qu’ils ont subi des violations de données.
Cependant, dans le cadre du nouveau Règlement général de l’Union européenne sur la protection des donnéesles entreprises qui font des affaires en Europe ou avec des clients européens devront divulguer « une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès à des données personnelles transmises, stockées ou autrement traitées ».
Il faudra peut-être encore un certain temps avant que les entreprises britanniques et européennes ne commencent à signaler les violations de données : pour le meilleur ou pour le pire, les exigences du RGPD n’entrent pas pleinement en vigueur avant deux ans.
Coup de chapeau à Blog de Trend Micro comme source d’inspiration pour cet article.