Selon la ministre française des armées, Florence Parly, les cyberattaques ont été multipliées par quatre en un an. Durant le seul mois de septembre qui vient de s’écouler, le groupe français Atos a annoncé trois fois plus d’incidents de sécurité informatique sur l’organisation des jeux olympiques de 2021 par rapport à l’édition de 2016 et les Hôpitaux de Paris se sont fait dérober les données personnelles d’1,4 million de personnes. Ces faits sont de plus en plus récurrents dans l’actualité et méritent que l’on s’intéresse de plus près aux enjeux et aux risques de notre société du tout-numérique. Qu’est ce que la cybersécurité et quelles sont les ressources à disposition des entreprises et des particuliers pour se protéger ?
Qu'est ce que la cybersécurité ?
La cybersécurité est un état recherché pour un système d’information lui permettant de préserver la confidentialité, l’intégrité et la disponibilité des données qui transitent par ce dernier. Elle veille donc à ce que les données ne soient consultables que par les personnes autorisées, qu’elles ne soient pas modifiées ou altérées et enfin que vous puissiez y accéder lorsque vous en avez besoin. Un système d’information, comme votre site web, votre base de données clients ou votre réseau wifi domestique, est un ensemble de dispositifs qui permet de collecter, stocker, traiter ou distribuer de l’information. Votre cybersécurité repose sur l’ensemble de pratiques et d’équipements que vous instaurez au sein d’une organisation (foyer familial, association, entreprise…) afin d’en garantir la sûreté.
Différents types d'attaques
Il existe un grand nombre de cyberattaques différentes. Certaines sont purement informatiques comme les malware, des programmes malveillants visant à nuire, ou les ransomware, des programmes malveillants visant à chiffrer l’accès à des données afin d’exiger une rançon. D’autres attaques reposent beaucoup plus sur l’ingénierie sociale et les failles humaines comme le hameçonnage ou la fraude au président qui consistent en une usurpation d’identité pour dérober des données ou des fonds. Contrairement aux attaques ciblées auxquelles le cinéma nous a habitué, la grande majorité des attaques sont des attaques de masse qui ne visent pas une structure en particulier mais qui diffusent massivement un piège en attendant que les personnes les moins renseignées tombent dedans. On pourrait alors éviter un nombre considérable d’attaques de masse et celles basées sur l’ingénierie sociale simplement en formant ses proches ou ses collaborateurs aux bonnes pratiques et aux risques.
Les TPE/PME en première ligne
Les cyberattaques ne visent pas uniquement les grosses entreprises. Elle peuvent cibler des particuliers mais aussi des TPE/PME qui deviennent un choix privilégié par les cybercriminels au vu de leur retard en transformation numérique, de leur méconnaissance des risques et parfois de l’obsolescence de leurs systèmes de sécurité. D’après une étude d’IPSOS, en 2018, seule une entreprise française sur cinq avait mis en place une stratégie de cybersécurité adéquate. Ces petites et moyennes entreprises sont également visées parce qu’elle représentent une faille pour de plus grosses structures mieux protégées. Il est plus simple de s’attaquer à la PME en charge de la ventilation ou des ressources humaines dans un datacenter pour ouvrir une porte dérobée physique ou numérique plutôt que d’attaquer directement ce datacenter mieux protégé. Il existe de nombreuses ressources sur le web pour se former à la cybersécurité dans ses usages personnels ou au sein de son entreprise. Le site cybermalveillance.gouv.fr regroupe de la documentation sur les menaces et les bonnes pratiques, celui de la CNIL (Commission Nationale de l’Informatique et des Libertés) permet d’en savoir plus sur la protection des données et enfin celui de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) propose des recommandations, des actualités et un interlocuteur en cas d’attaque. Même si une organisation n’a pas de budget à allouer à des équipements de cyberdéfense, elle peut opter pour de la formation qui ne lui coûtera que du temps. Dans cette guerre numérique la meilleure défense n’est pas l’attaque, mais la prévention.
