Le mois d’octobre est déclaré depuis plusieurs années maintenant, mois européen de la cybersécurité. C’est à cette occasion que la société Unumkey est intervenue auprès de différentes entreprises de la région afin de faire un point sur les nouvelles attaques.
Tous les professionnels de l’informatique vous le diront : la sécurité numérique ne se résume pas à des algorithmes de cryptologie complexes, c’est surtout des pratiques et des comportements simples à adopter au quotidien, chez soi ou au travail. En effet, depuis plu- sieurs années, les cyberattaques se multiplient. En 2015, 3391 ont été dénombrées contre 3718 enregistrées seulement pour les six premiers mois de l’année 2019. Les entreprises ne s’y trompent pas. Aujourd’hui, selon une enquête de Marsh-Microsoft, 47% des entreprises mondiales ont souscrit une cyberassurance contre 34% en 2017 (voir encadré). « Les cyberattaques pour atteindre une société visent souvent leurs sous-traitants », explique David Dubus, président d’Unumkey. Ainsi, l’entreprise Airbus a fait l’objet de piratage informatique au sein de sa propre structure mais aussi via ses sous-traitants. « La question de l’espionnage industriel s’est fortement posée d’autant que plusieurs personnes ont été licenciées peu de temps après, par l’avionneur, sur son site stratégique de Toulouse. »
Il faut dire que les méthodes de piratage informatique évoluent et s’appuient sur les failles de vulnérabilité de logiciels ou systèmes d’exploitation, mis en place pour certains depuis de longues années. Les grosses entreprises sont les cibles favorites des hackers, notamment celles compilant les données personnelles de milliers d’utilisateurs, comme Twitter ou Facebook. « Le CEO de Twitter s’est fait pirater son compte via le service de tweets par sms. L’entreprise a, dans la foulée, supprimé cette fonctionnalité », révèle David Dubus. Même problématique pour Apple, qui a dû corriger en catastrophe son système d’exploitation. À deux mises à jour d’intervalles, celui-ci présentait les mêmes failles de sécurité, signalées par des hackers… Quant à Vbulletin, outil utilisé pour créer des forums, il a été infecté mettant en péril plus de 75 000 sites de discussions instantanées. « On peut signaler, que Vbulletin a des clients comme la Nasa… », indique Léo Jorand, consultant sécurité chez Unumkey.
« LE RISQUE ZÉRO N’EXISTE PAS »
Si les professionnels s’accordent à dire que « le zéro risque n’existe pas », plusieurs solutions sont proposées pour se prémunir au mieux des piratages informatiques. « Les cyberattaques sont en constante évolution et s’en prémunir est plus une question organisationnelle que technologique », insiste David Dubus. « Tout d’abord, il faut évaluer le niveau de vulnérabilité de l’entreprise, par divers moyens, comme des tests d’intrusion effectués par des professionnels obéissant à une charte éthique ou ce que l’on nomme les phishing à blanc (le phishing ou hameçonnage est une technique consistant à récupérer les informations confidentielles des internautes via différents biais : faux e-mails, piratage de sites web, etc. NDLR) »
SE TENIR AU COURANT DES NOUVEAUX RISQUES
En outre, il est important en interne, d’établir « une culture de la cybersécurité », à savoir de mettre à contribution tous les services et non pas uniquement celui qui s’occupe de l’informatique. C’est ce que s’évertue notamment à faire Vivescia, société forte de 60 implantations industrielles dans le monde et employant plus de 7 500 collaborateurs. « On peut avoir de grosses organisations avec des experts en interne qui répondent aux besoins et objectifs. Pour autant, nous avons aussi besoin d’un regard extérieur et plus large sur notre sécurité informatique », explique Anthony Dumais, directeur sécurité et systèmes d’information au sein de la coopérative.
« Nous devons régulièrement nous tenir au courant de la nature des nouvelles attaques, pour être aiguillé et éclairé dans nos manières de fonctionner. Se faire accompagner aujourd’hui est nécessaire car, dans ce domaine, il faut savoir se montrer humble et garder à l’esprit tous les risques potentiels qui émergent du jour au lendemain. »
Si les entreprises privées sont concernées dans la protection des données, les collectivités territoriales aussi sont sensibles à ce sujet. « Le numérique est partout aujourd’hui, et nous, en tant que collectivité, sommes amenés à établir un certain nombre de protocoles impliquant des données personnelles lorsque l’on gère des dossiers sociaux, éducatifs ou de santé », relève Hervé Cordebar, directeur des systèmes d’information au Conseil départemental des Ardennes.
GOOGLE EN TOURNÉE DANS TOUTE LA FRANCE
Preuve que ce sujet touche sans distinction petites et grandes entreprises, durant tout le mois d’octobre, Google a prévu de faire une tournée dans toute la France afin de sensibiliser les familles à la cybersécurité et ainsi promouvoir ses outils de sécurité. L’entreprise mondialement connue et faisant partie des cinq « GAFA » sera présente le 16 octobre à Troyes, le 28 octobre à Châlons-en-Champagne et le 6 novembre à Charleville-Mézières.
UNE RÉGLEMENTATION TRÈS STRICTE
Le nouveau règlement européen sur la protection des données personnelles (RGPD) est entré en application le 25 mai 2018. La réforme de la protection des données obéit à trois objectifs : Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles, responsabiliser les acteurs traitant les données (responsables de traitement et sous-traitants) et crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes. Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.
DES ASSURANCES SPÉCIFIQUES
Presque 50% des entreprises mondiales souscrivent aujourd’hui une assurance concernant les attaques informatiques. La principale raison est de pouvoir l’utiliser afin de pallier le manque à gagner lors de l’attaque qui va impacter l’activité. L’assurance va aussi intervenir en missionnant un expert chargé de reconstituer les données. Dans le cadre de diffamations ou de dénigrements sur internet, l’assurance peut aussi prendre en charge l’intervention dans le nettoyage des données. En revanche, dans le cadre de la RGPD, l’entreprise est tenue de prévenir la CNIL dans les 72 heures.