Cyber-sécurité, tous menacés, tous concernés ?

Publiée le 9 novembre 2023

Plus de 50% des entreprises françaises auraient fait l’objet d’une cyber-attaque en 2022. Comment est-ce possible ? Méconnaissance, déni ou renoncement ? Localement, les responsables sécurité Informatique des membres du Pacte Economique Local partagent leurs expériences au sein d’un groupe de pairs.

Le cyber-crime n’est pas un phénomène marginal et n’épargne personne, ni entreprises, ni administrations, ni collectivités locales, ni services publics. On estime à 2,8 milliards d’euros les pertes de chiffres d’affaires cumulées des entreprises françaises en 2022. Et près de 60% de celles ayant été victimes d’un vol de leurs données ferment leurs portes dans les 12 mois. Il faut noter que les acteurs publics et parapublics ne sont en rien à l’abri. Ils font même depuis 2020 l’objet d’une attention redoublée des cyber-criminels. Récemment encore, des collectivités territoriales et des hôpitaux ont vu leur fonctionnement fortement perturbé suite à une cyber-attaque.

Pourtant, des solutions existent à la fois d’ordre technologique, procédural et managérial.

Même si les cyber-criminels ne manquent pas d’inventivité, de créativité explorant aujourd’hui les potentialités de l’Intelligence Artificielle et demain celles du quantique, il n’y a pas de fatalité. Laisser ses portes grandes ouvertes parce que les voleurs trouveront bien toujours un moyen d’intrusion ne viendrait à l’idée de personne dans le « monde réel » alors pourquoi cette résignation dans le monde numérique. A défaut d’être en pointe, avoir des wagons de retard est la garantie de sérieux déboires et un peu d’hygiène ne peut jamais faire de mal. Montrer à un potentiel intrus que l’on a soi-même pris la mesure du risque, que des outils ont été déployés qui vont empêcher ou en tout cas ralentir sa progression, limiter les gains pour lui… sont autant d’invitations à passer son chemin, d’autant que les attaques élémentaires sont aujourd’hui automatisées et « en aveugle »

Alors bien-sûr comme le risque zéro n’existe pas et que la prévention ne suffit pas toujours, se pose aussi la question de la réaction en cas d’incident. Il s’agit à la fois de pouvoir détecter les attaques au plus tôt, de gérer la crise, comme cela est le cas dans bien des domaines, mais aussi d’investiguer afin d’identifier les causes et les coupables, et enfin de procéder à de la remédiation comme disent les spécialistes. L’enjeu sur ce dernier point étant de corriger les failles identifiées afin que cette vulnérabilité ne soit plus exploitable. Un point qui est souvent insuffisamment ou incorrectement traité par les victimes.

Comme dans le « monde réel », de nombreux incidents sont le fait d’une erreur humaine. Aussi, la sensibilisation des salariés est déterminante. Ce qui n’a à la fois rien de surprenant et rien d’insurmontable. Les entreprises travaillent régulièrement sur tous types de risques en lien avec les équipes. Pourquoi le risque cyber serait-il plus difficile à adresser. Pour le salarié, il s’agit seulement de respecter un certain nombre de consignes plutôt simples, qu’il aura souvent d’ailleurs intérêt à observer de la même manière dans sa vie privée : gestion des mots de passe, stratégie de sauvegarde de ses fichiers et données pour les utilisateurs de portables, prudence par rapport à toute sollicitation venant de l’extérieur et aux risques de phishing, mise à jour des applicatifs sur les terminaux mis à disposition, utilisation de services cloud « tiers », connexion depuis des réseaux wifi privés/publics en dehors de l’entreprise…

Cybermalveillance.gouv.fr est aujourd’hui LE guichet d’entrée pour tous les acteurs qui s’intéressent à ces questions de cybersécurité. Tout d’abord, il permet de se signaler lorsque l’on est la cible voire la victime d’une cyberattaque pour être pris en charge et accompagné (et faciliter le suivi par l’ensemble de la communauté de l’évolution du risque et des attaques) ainsi qu’éventuellement a posteriori pour porter plainte. Ceci vaut d’ailleurs autant en tant que professionnel que particulier.

Il recense de nombreuses ressources proposées par un des 62 membres/partenaires du GIP dont l’ANSSI bien-sûr mais aussi la BPI, les organismes consulaires, les associations professionnelles et de consommateurs. Sur le site, on retrouve en particulier au regard des 21 types de cyber-menaces identifiées, les réflexes et outils à adopter ainsi que de manière plus générale ce qu’il faut mettre en œuvre pour assurer une bonne hygiène numérique. A noter aussi, en partenariat avec BPI France un guide dédié pour les TPE/PME qui sont, comme souvent dès que l’on s’éloigne du cœur de métier, les parents pauvres en matière de cyber-sécurité. Enfin, une liste d’experts certifiés susceptibles de répondre aux besoins des entreprises, depuis le diagnostic jusqu’à la mise en œuvre, en passant par la sensibilisation, et qui peuvent intervenir en prévention ou en accompagnement d’un incident.

Le collectif a sur l’ensemble du mois d’octobre encore cette année, comme c’est le cas depuis 2015, pris en charge en France le relais de la campagne européenne autour du Cybermois. Cette année, la thématique retenue est la fraude par l’ingénierie sociale avec la campagne « Je m’arrête, Je questionne, Je vérifie ». De nombreuses actions de sensibilisation sont prévues via les médias, des événements ou les partenaires.

Présentation du groupe

Le groupe des DSI/RSSI regroupe une quinzaine d’acteurs membres du Pacte Economique Local :

  • Ils se retrouvent 3 fois par ans environ
  • Ces rencontres prennent souvent la forme d’une visite chez un des membres du Pacte
  • Elles sont l’occasion d’un témoignage sur la stratégie, l’organisation interne, les dispositifs et outils mis en place tant en termes de prévention que de gestion de crise
  • Elles visent à une diffusion des bonnes pratiques au sein des acteurs de l’écosystème