Read in the news
|
Published on 28 February 2019

Monde/Sécurité - Cyber-sécurité : tous mobilisés face aux intrusions malveillantes

Boites mail hackées. Intrusions sur les réseaux d’entreprise. Cyber-espionnage. Vols de propriété intellectuelle et de données personnelles. Les actes de cyber-malveillance se généralisent et leur prévention représente un enjeu capital pour l’économie digitalisée.

Publié le 19 février sur le site des Echos

Face à l'ampleur de cette menace, l'heure est venue d'une mobilisation générale allant du gouvernement aux entreprises utilisateurs en passant par les opérateurs de réseaux.

L'impact colossal de la cyber-malveillance

Pour prendre la mesure de la menace, il n'y a qu'à jeter un oeil sur les chiffres publiés par le think tank Center for Strategic and International Studies (CSIS), qui estime à 600 milliards de dollars le coût annuel mondial de la cyber-malveillance (soit 0,8% du PIB planétaire). Une estimation qui a le mérite de donner un ordre de grandeur cohérent des pertes colossales causées par les intrusions informatiques.

Le coût de ces attaques a augmenté de 34% au cours des deux dernières années, et tout laisse à penser que le phénomène va encore s'amplifier à l'avenir. Dès lors, la cybercriminalité doit être appréhendée comme la criminalité traditionnelle en gardant constamment à l'esprit son impact direct sur la croissance, l'emploi, l'innovation et l'investissement.

Selon la Commission Européenne, 80% des entreprises de toutes tailles sont victimes de cyberattaques en Europe. Parmi les impacts les plus courants pour les entreprises, on note le chantage au blocage de données « ransomware », le vol de propriété intellectuelle, la perte de données sensibles (ce qui peut aller jusqu'à entrainer des manipulations boursières), les interruptions de service, un coût accru pour la sécurisation des réseaux et l'assurance, ainsi qu'un impact négatif sur la réputation de l'entreprise.

Une enquête réalisée par Infopro pour Sylob et Hub One montre que 55% des entreprises françaises (et jusqu'à 73% des ETI et grandes entreprises) ont été victimes de cyber-attaques au cours des douze derniers mois. Parmi les attaques les plus redoutées des grandes entreprises françaises, on retrouve notamment les ransomware (53%), l'infection par un logiciel espion (47%), ou la destruction d'information (43%).

A ces problématiques économiques et industrielles, il faut ajouter les actes de cyber-malveillance qui touchent les individus (vols de données personnelles notamment bancaires, matériel endommagé, installation de logiciels espions...) et ceux, plus graves encore, qui touchent à la sécurité des Etats (manipulation d'élections, intrusion et vols de données sur des systèmes gouvernementaux).

L'impact de la cybercriminalité n'est donc pas seulement économique, mais représente un véritable enjeu de société qui nécessite la mobilisation de tous.

Mobilisation générale : l'exemple de la sécurité routière

Trop d'internautes (mais aussi des chefs d'entreprise) considèrent encore que la protection de leur ordinateur, et par extension du réseau auquel il est connecté, peut être garantie par l'efficacité d'un anti-virus et des systèmes de protection mis à leur disposition. La technologie ne peut pourtant pas tout si les comportements des utilisateurs et la réponse politique ne sont pas adaptés.

Technologie. Législation. Comportements. A l'image de ce qui se passe en France depuis quatre décennies pour la sécurité routière, la lutte contre la cyber-malveillance doit prendre en compte et mobiliser conjointement ces trois dimensions pour être efficace et prendre enfin la mesure du niveau de menace.

L'exemple de la mortalité au volant est frappant. En 1972, 18'034 personnes meurent sur les routes de France. Un chiffre-record qui pousse l'ensemble des acteurs à une mobilisation générale. Au fil des années et des décennies, le gouvernement durcit les limitations de vitesse et les contrôles, les constructeurs développent des solutions technologiques pour accroître la sécurité à bord des véhicules. Les conducteurs enfin, font l'objet d'intenses campagnes de sensibilisation et d'éducation pour limiter les comportements à risque.

Résultat de cet effort coordonné : malgré un trafic routier multiplié par 2,4, le nombre de morts sur les routes a continuellement chuté depuis les années 1970 pour atteindre en 2018 son chiffre le plus bas avec 3'268 décès. L'engagement fort de l'Etat, la généralisation d'innovations technologiques (ceinture de sécurité, airbag, ABS) et une prise de conscience des risques par les conducteurs sont les trois clés de cette réussite.

Il n'en demeure pas moins que malgré les mesures réglementaires et les technologies embarquées, un conducteur roulant trop vite, ou ayant les yeux rivés sur l'écran de son smartphone met en danger lui-même et les autres. L'analogie se prête très bien à la cyber-malveillance et à la protection des réseaux connectés.

Cybersécurité en entreprise : réponse technologique, réglementaire et comportementale

Quand une entreprise met en place sa politique de cybersécurité, elle doit passer par deux grands axes : technique d'abord (matériel et logiciel : pare-feu, logiciels anti intrusions...) et comportementale ensuite. Les salariés ont besoin d'éducation, de pédagogie et de règles, pour que les « autoroutes de l'information » puissent être empruntées avec un maximum de sécurité et que les données soient préservées. Cette éducation au numérique permet de gérer au mieux les comportements dangereux, qui sont dans la plupart des cas inconscients.

Les entreprises doivent donc s'équiper de solutions techniques pour prévenir la cyber-malveillance, tout en organisant des formations pour que leurs propres salariés ne deviennent pas des chevaux de Troie. C'est encore plus vrai dans les PME et les TPE, où c'est le degré de compréhension du dirigeant sur ces sujets qui va définir la ligne de sécurité de la société. Par obligation, les Opérateurs d'Importance Vitale doivent déjà prendre en compte le facteur humain et RH dans leur politique de sécurité. Et ce phénomène commence à faire boule de neige dans les grandes entreprises et les ETI.

Mais changer les comportements prend du temps. Et pour que cela fonctionne, ce changement ne doit pas être le seul fait de l'entreprise. Dans le domaine de la sécurité routière, c'est la volonté constante de l'État, l'engagement des associations, l'amélioration de la sécurité des véhicules et l'aménagement des routes qui ont permis une prise de conscience des usagers. En matière de cybersécurité, le Règlement Général sur la Protection des Données en est un bon exemple. Il ne s'agit pas d'une simple prise de conscience européenne pour protéger les données personnelles, mais également d'une volonté de penser la sécurité du système d'information dès sa création et son architecture, c'est ce que l'on appelle le « security by design ».

Tout comme les entreprises et le législateur, les opérateurs ont également leur rôle à jouer. La sécurité doit être un axe de développement à part entière, et non un simple argument marketing. Le rôle de l'opérateur est d'apporter ce niveau de sécurité à ses clients, même s'il a un prix, qu'il serait judicieux de comparer avec le coût d'un acte cyber-malveillant, et l'impact que celui-ci peut avoir sur le fonctionnement et le développement de l'entreprise.

A l'image des avancées spectaculaires de la sécurité routière, qui permettent chaque année de sauver des milliers de vies, la société dans son ensemble doit prendre la mesure de la problématique cyber-sécurité. Ce n'est qu'en alliant les efforts de tous que nous pourrons mettre en oeuvre des stratégies globales et efficaces contre la cyber-criminalité. Cela passe par une prise de conscience, un effort de formation, des cadres réglementaires plus stricts et des solutions technologiques toujours plus pointues.