Nous le savons tous : les cyber menaces représentent déjà un réel danger. Pour les entreprises comme pour les collectivités locales ou les particuliers. Et ça ne va pas aller en s’arrangeant puisque les spécialistes s’accordent à dire qu’elles vont continuer de croître sous des formes variées. A la question que tout décideur doit se poser (mon organisation est-elle prête à y faire face ?), la réponse est probablement négative. Car les solutions techniques, logicielles ou matérielles, ne suffisent pas puisque les principaux risques sont liés aux comportements individuels. Il suffit d’un malheureux clic sur un lien malveillant pour mettre son entreprise en danger. Il y a donc une « nécessité de se préparer à la crise », comme l’a rappelé Benoît Fuzeau, responsable sécurité des systèmes d’information de la Casden Banque Populaire, lors d’une Matinale de So Digital consacrée au sujet, le 18 avril dernier.
Mais si chacun d’entre nous représente une menace, nous pouvons aussi jouer efficacement en défense. En étant d’abord bien informés, grâce à des sites web très bien documentés comme ceux de la CNIL (Commission Nationale Informatique et Libertés), de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ou du Clusif (Club de la Sécurité de l’information français).
On peut aussi se rendre sur les pages d’informations dédiées sur le site Gouvernement.fr ou visualiser les nombreuses vidéos sur Youtube qui y sont consacrées, comme celle-ci :
Allez voir aussi la série de clips de la « Hack Academy » que le Cigref, association spécialisée dans le numérique, a réalisé il y a quelques années.
Ces informations devraient être diffusées sur les grands médias aux heures de pointe, tant il est important que le grand public prenne conscience des petits gestes qui peuvent les protéger. C’est encore plus vrai pour ceux qui ne sont pas spécialisés ou à l’aise avec l’informatique. Rendre intelligible ce dont on parle, notamment en direction des générations pré-numériques, n’est pas facile mais indispensable.
La ville d’Issy-les-Moulineaux prend régulièrement des initiatives pour sensibiliser la population sur les risques encourus dans le monde virtuel. Ce fut le cas lorsqu’elle a décidé d’adopter Qwant comme moteur de recherches par défaut pour tous ses postes informatiques, celui-ci garantissant ne pas tracer nos navigations sur Internet. Ou en lançant des campagnes d’affichage sur les bons gestes pour se protéger, comme celles-ci :
Au-delà de ces campagnes de sensibilisation, il faut parfois seulement faire preuve de bon sens, ne pas banaliser (signaler immédiatement la perte ou le vol d’un ordinateur professionnel par exemple) et surtout ne pas être fatalistes. Comme l’a souligné l’un des orateurs avec un peu d’humour, « les hackers sont d’abord de très bons informaticiens et, comme tous les informaticiens, ils sont fainéants et n’attaqueront que les cibles les plus vulnérables ».
Au cours de cette conférence, Randy Yaloz, un avocat franco-américain fondateur d’ELC Group mais surtout expert en contentieux en matière de nouvelles technologies et Alice Pézard, avocate et conseiller honoraire à la Cour de cassation ont insisté sur les risques juridiques touchant notamment les organisations (de la petite association à l’entreprise multinationale), car les risques de fuite de données peuvent venir de prestataires insuffisamment protégés et ne respectant pas le RGPD (Règlement général sur la protection des données) . « Le contrat n’intervient que lorsqu’un problème survient . Il faut donc être vigilants sur ce point » et avoir conscience des risques. Or, 90% des PME et une entreprise moyenne sur deux ne sont pas couvertes contre le risque cyber, a souligné Arnaud Gressel, président de RESCO Courtage, qui propose des assurances contre les risques cyber. C’est d’autant plus indispensable que ces assureurs ont des experts pour accompagner et conseiller l’entreprise en cas de crise liée aux cyber attaques, des experts juridiques rodés au RGPD (rappelons qu’une entreprise n’a que 72 h pour déclarer à la CNIL une fuite de données).
En fait, comme pour les risques liés aux incendies, il faut prendre des mesures préventives mais aussi mener des exercices de simulation.
Quand on assiste à une conférence sur le sujet, c’est l’angoisse garantie. Les exemples d’attaques informatiques dans n’importe quelle organisation ou de fraudes auprès des particuliers sont tellement nombreux qu’on pourrait être fatalistes et croire que le Pearl Harbor numérique qu’on nous promet depuis une bonne vingtaine d’années est inéluctable. Gardons à l’esprit que « la sécruité est l’affaire de tous mais surtout l’affaire de chacun ».