Les cybercriminels et leurs modes opératoires

Les personnes qui s'informent sur la cybersécurité rencontrent inévitablement le terme de «résilience», un mot emprunté à la psychologie, qui décrit la capacité de résistance permettant de surmonter des situations difficiles sans être affecté durablement. Appliquée à la cybersécurité, la résilience est la capacité des systèmes de technologies de l'information et de la communication (TIC) à maintenir leur fonctionnalité malgré les perturbations, les attaques ou d'autres circonstances défavorables, et à se remettre rapidement et efficacement de tels événements. Pour atteindre la résilience des TIC, la sécurité de l'information se concentre sur trois objectifs de protection élémentaires:

• Confidentialité: la capacité de protéger les informations contre toute divulgation non autorisée.
• Intégrité: la capacité à protéger les informations contre toute modification non autorisée (y compris la destruction).
• Disponibilité: la capacité de maintenir en permanence l'accès autorisé aux informations et le fonctionnement continu et fiable des applications.

Les normes minimales pour les TIC  – des normes contenant des aides et des instructions d'action concrètes pour améliorer sa propre résilience en matière de TIC –  mentionnent la nécessité de connaître ou d'évaluer dans un premier temps ses propres risques en matière de TIC. D'autre part, il est tout aussi important de connaître précisément ses propres systèmes et processus commerciaux afin d'identifier de manière ciblée les points faibles et de pouvoir en déduire des mesures pour améliorer la résilience.

Afin d'évaluer les risques liés aux TIC, il est utile d'examiner comment les différents types de criminalité numérique tentent de manipuler ou de nuire aux systèmes numériques, aux données ou aux personnes.

Infractions dans l'espace numérique

Au sens juridique du terme, il n'existe pas de délit de criminalité numérique. Mais il existe des infractions inscrites dans le Code pénal qui, du fait que l'acte se déroule dans l'espace numérique, deviennent des crimes numériques. Prenons un exemple pour illustrer ce point: en 2023, on a enregistré au total 29'314 cas constituant l'infraction d'escroquerie (art. 146 du Code pénal). Près de 80% de ces cas ont été commis dans l'espace numérique et ont donc été enregistrés comme cyber-escroquerie.

Il n'existe malheureusement pas de statistiques systématiques sur le nombre de cas de cybercriminalité dans la formation. L'illustration interactive ci-dessous montre toutefois les différents types de cybercriminalité pour l'ensemble de la Suisse. Elle se base sur les données de l'Office fédéral de la statistique (OFS), qui publie chaque année une statistique sur la criminalité numérique. Le graphique montre qu'il existe essentiellement trois groupes principaux de modes opératoires. La cybercriminalité économique est la forme la plus répandue de la criminalité numérique, avec environ 32'300 infractions par an. On compte également environ 2'670 cas de cyber-délits sexuels et près de 900 cas de cyber-atteinte à la réputation et pratiques déloyales. Deux autres modes opératoires, à savoir le data leaking et le commerce illégal sur le darknet, sont nettement moins importants en termes de nombre. 

Modes opératoires et personnes lésées de la criminalité numérique

Pour obtenir des informations sur les risques potentiels des TIC à partir de ces chiffres sur la cybercriminalité, il est avant tout important de descendre encore d’un niveau et d'examiner les modes opératoires concrets des cybercriminels. En cliquant sur les différents niveaux, il est possible d'obtenir des informations intéressantes, d'une part sur l'énorme diversité, mais aussi sur la fréquence relative des différents modes opératoires criminels. En outre, les définitions de tous les modes opératoires – dont les noms sont parfois peu parlants – sont disponibles.

Illustration: types et fréquences des différents modes opératoires de la criminalité numérique (représentation propre avec chiffres de l'OFS 2024).

En cliquant sur les cercles suivants, vous trouverez des informations complémentaires sur le déroulement des faits.

Dans le cas de la cybercriminalité économique, par exemple, les actes sont principalement commis via des petites annonces, l’abus d’identité/de systèmes de paiement personnels ainsi que le phishing. Les différents modes opératoires montrent que la cybercriminalité économique représente un danger aussi bien pour les particuliers que pour les entreprises, ou les institutions et leurs employées et employés. Alors que les romance scams s'adressent plutôt aux particuliers, les attaques DDoS ou le piratage informatique s'attaquent à des systèmes TIC entiers d'entreprises ou d'institutions, y compris d'instituts éducatifs. Les malware ou arnaques au faux support technique tentent de pénétrer dans les systèmes TIC des organisations par l'intermédiaire des collaboratrices et des collaborateurs.

Les individus privés sont nettement plus au centre de l'attention lorsqu'il s'agit de «cyber-atteinte à la réputation et pratiques déloyales» ou de cyber-délits sexuels. A l'exception de la cyber-atteinte à la réputation (business) et du cybersquatting, seuls des individus sont concernés par ces modes opératoires. Les actes les plus fréquents sont les cyberbullying et cyberbermobbing ainsi que la pornographie interdite. Fait particulièrement effrayant: dans le cas des cyber-délits sexuels, près de 90% des victimes ont moins de 21 ans (cf. OFS 2024). Les individus concernés par les «cyber-atteinte à la réputation et pratiques déloyales» ainsi que par les cyber-délits sexuels devraient donc être en majorité des élèves.

Cette abondance de stratégies criminelles montre clairement que les risques liés aux TIC et la résilience des TIC doivent toujours être pensés de manière globale. Au niveau de l'organisation, de sa technique et infrastructure (physique), mais aussi au niveau de l'individu, que ce soit dans l'entreprise ou dans la vie privée.

Importance de la cybercriminalité pour la formation

Malheureusement, les dernières années ont montré que les établissements éducatifs ne sont pas du tout à l'abri de la cybercriminalité (voir l'article «Cyber-incidents dans le système éducatif suisse»). Les multiples cyber-risques qui découlent de cette criminalité numérique posent donc également de grands défis au système éducatif.

En ce qui concerne la composante humaine des cyber-risques, le système éducatif a une grande responsabilité dans la sensibilisation et l'enseignement de comportements qui contribuent à une plus grande cyber-résilience. Cette responsabilité concerne aussi bien les élèves que les collaboratrices et collaborateurs. L'Office fédéral de la cybersécurité (OFCS) propose à cet égard un matériel d'information complet – adapté aux élèves ainsi qu’aux collaboratrices et collaborateurs, par exemple des écoles et des communes. En outre, la Conférence des directrices et directeurs des départements cantonaux de justice et police (CCDJP) met à disposition une «formation de base dans le domaine de la cybersécurité à l'intention des autorités» librement accessible. Enfin, la préposée à la protection des données du canton de Zurich publie un guide pour la «sensibilisation des collaboratrices et collaborateurs à la sécurité de l'information (en allemand)».

Au niveau des organisations, il s'agit de rendre résilientes la technique et l'infrastructure des plus de 10'000 institutions éducatives (école obligatoire et degré secondaire II), des nettement plus de 2'000 unités administratives liées à la formation et de tous les autres acteurs (par ex. services psychologiques scolaires, organisations du monde du travail, entreprises formatrices). A cet égard, les organisations du système éducatif font le plus souvent cavalier seul. En fonction de leur taille, de la disponibilité de leurs ressources ou de leur sensibilité à ce sujet, la résilience des organisations varie considérablement.