Cybercriminels, des entreprises comme les autres

L’étude « Inside the Halls of a Cybercrime Business » révèle la professionnalisation des cybercriminels. Avec des modèles qui s’accompagnent d’enjeux organisationnels et budgétaires.

Cybercriminels, des entreprises comme les autres. Alors que 80 % des coûts de fonctionnement d’une grande organisation sont liés aux salaires, ce pourcentage s’élève à 78 % pour une petite organisation criminelle. Les autres dépenses courantes communes concernent l’infrastructure (serveurs/routeurs/VPN), les machines virtuelles et les logiciels.

« La clandestinité criminelle se professionnalise très vite. A mesure que les groupes d’attaquants se développent, ils imitent dans leur schéma fonctionnel celui de l’entreprise. Toutefois, les grandes organisations de cybercriminalité peuvent être plus difficiles à gérer et comporter davantage de ‘politiques administratives’ et autres enjeux notamment de confiance entre les différents échelons et participants », explique Nicolas Arpagian, Director Cybersecurity Strategy, Trend Micro.

Cybercrimels en mode TPE

L’étude « Inside the Halls of a Cybercrime Business » décrit trois types d’organisations criminelles en fonction de leur taille. Cette classification a pu être établie grâce aux données récoltées par Trend Micro lors de cas concrets en coopération avec des forces de l’ordre et des services de renseignements.

Premières visées, les « TPE du cybercrime ». Les plus nombreuses. Elles s’appuient sur une tête pensante avec un effectif qui varie entre 1 à 5 « employés », pour un chiffre d’affaires annuel inférieur à 500 000 USD. Leurs membres s’occupent souvent de plusieurs tâches au sein du groupe et ont également un emploi à côté de leur activité malveillante. Elles constituent la majorité des entreprises criminelles et s’associent souvent à d’autres entités frauduleuses.

Des PME bien organisées

Ensuite, les entreprises criminelles de taille moyenne, comme Bulletproof hosterMaxDedi. Elles ont généralement deux niveaux de direction et s’appuient sur un collectif de 6 à 49 « employés ». Leur chiffre d’affaires annuel peut s’élever jusqu’à 50 millions USD. Leur structure hiérarchique est souvent pyramidale avec une unique tête pensante.

Enfin, les grandes entreprises criminelles, comme le groupe de rançongiciel Conti. Avec, en général, trois niveaux de direction, ce type d’organisation compte plus de 50 « employés » et enregistre un chiffre d’affaires annuel de plus de 50 millions USD.

Elles comptent un nombre relativement important de cadres et de superviseurs. Elles mettent en œuvre un système OPSEC efficace et s’associent à d’autres organisations criminelles pour toujours plus de résultats dans leurs actions malveillantes.

Les responsables sont des cybercriminels chevronnés qui recrutent de nombreux développeurs, administrateurs et experts en pénétration de systèmes, y compris en contrat court.

Les organisations de cette envergure peuvent disposer de services semblables à ceux d’une entreprise -par exemple, l’informatique, les ressources humaines- et même gérer des programmes pour les employés, tels que l’évaluation de performance.

Mieux comprendre les organisations criminelles pour aider les forces de l’ordre

Selon le rapport, le fait de connaître la taille et la complexité d’une organisation criminelle permet de fournir des indices clés aux enquêteurs, notamment sur la nature des données à rechercher. Par exemple, les grandes entités criminelles peuvent stocker des registres de leurs effectifs, des statuts financiers, des tutoriels de fonctionnement de l’entreprise, des documents propres à des fusions et acquisitions, des détails sur les portefeuilles de cryptomonnaie des employés, des calendriers partagés, etc. Ce sont là autant de données qui peuvent être explorées dans le cadre d’investigations policières.

« Le fait de mieux comprendre la taille et l’architecture des organisations criminelles ciblées aide également les forces de l’ordre à prioriser leurs interventions et à cibler leurs opérations au sein de ces structures de plus en plus complexes », conclut Nicolas Arpagian.