Face à la cybercriminalité, la riposte s’organise

« L’année 2018 s’est achevée comme 2017, avec un haut niveau de cyberattaques, entraînant des fuites importantes de données personnelles et professionnelles. La semaine dernière, nous apprenions l’existence d’une base de données comprenant jusqu’à 772 millions d’adresses mail piratées et plus de 20 millions de passeports », annonçait en janvier dernier Laurent Nunez, secrétaire d’Etat auprès du ministre de l’Intérieur, à l’occasion du 11e Forum international de la cybersécurité. Or, si la cybersécurité est l’une des quatre préoccupations les plus importantes pour les dirigeants d’entreprise à l’échelle mondiale, en France, moins de trois sur dix la perçoivent comme un enjeu prioritaire, et une sur deux seulement pense pouvoir lutter contre une cyberattaque*. « Tant que les entreprises n’ont pas été durement touchées, elles sont plutôt dans la sous-estimation, voire le déni du risque. Conséquence : la dynamique des entreprises est curative au lieu d’être préventive », explique Rami Feghali, associé au cabinet PwC.

L’Europe renforce sa réglementation

Pourtant, la réglementation européenne a renforcé les obligations qui pèsent sur les entreprises et les collectivités. Depuis le 25 mai 2018, le règlement général pour la protection des données (RGPD) leur impose de préserver leur système d’informations des attaques pour sécuriser les données personnelles qu’elles détiennent. Manquer à cette obligation est désormais lourdement sanctionné : la CNIL (Commission nationale informatique et libertés) peut prononcer jusqu’à vingt millions d’euros d’amende et une sanction pénale. Plus généralement, l’Europe a entrepris de renforcer sa réglementation sur la cybersécurité, en s’appuyant sur la directive relative à la sécurité des réseaux et des systèmes d’information de 2016, entrée en vigueur le 9 mai 2018.

La dynamique des entreprises est curative au lieu d’être préventive.

Dans cette optique, le Conseil européen a préconisé d’étendre les compétences de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) et d’instaurer un système de certification de cybersécurité à l’échelle de l’UE. Une coopération qui fonctionne également au niveau mondial : en mai 2017, une société financière britannique a été victime d’attaque informatique, d’extraction de données et de tentatives d’extorsion de fonds de 730 000 livres par des hackers français, localisés en France et en Thaïlande. Grâce à Europol, l’ensemble du groupe de pirates a été arrêté, depuis le concepteur du code jusqu’aux « petites mains ».

Inculquer une culture de la cybervigilance

Avec 8 600 agents formés dans le domaine cyber en France, le ministère de l’Intérieur dispose d’un maillage territorial décisif. Place Beauvau, Christophe Castaner a confirmé en janvier dernier le prochain recrutement de huit cents agents dédiés à la cybersécurité. Il souhaite aussi renforcer la gouvernance cyber du ministère ainsi que la coopération entre l’ensemble des services en charge de ces questions. Par ailleurs, le gouvernement multiplie les actions pour inculquer une culture de la cybervigilance aux citoyens. Comme le programme CyberVigilant, développé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui préconise des réflexes simples : élaborer des mots de passe robustes, effectuer les mises à jour de contenu à partir d’un ordinateur maîtrisé par le service informatique, mais jamais à distance… Plus de huit attaques informatiques sur dix pourraient être évitées grâce à ces mesures d’hygiène. Par ailleurs, lorsqu’elle a connaissance d’une menace grave et imminente sur les systèmes d’une autorité publique, d’un opérateur d’importance vitale (OIV) ou de services essentiels (OSE), l’ANSSI peut placer temporairement un dispositif de détection local sur le serveur d’un hébergeur ou l’équipement d’un opérateur de communications électroniques contrôlés par l’attaquant. Quant à cybermalveillance.gouv.fr, c’est un programme gouvernemental de sensibilisation, prévention et soutien à la sécurité numérique, animé par le groupement d’intérêt public Acyma depuis fin 2017. Citoyens, entreprises ou collectivités victimes peuvent y dénoncer les attaques et obtenir un diagnostic ou des conseils pratiques, être mis en relation avec des spécialistes et prestataires de proximité…

*Étude PwC-Ipsos 2018, réalisée en France auprès de six cents entreprises de toutes tailles.

Visa de sécurité de l’ANSSI 

Choisir des solutions de cybersécurité représente un enjeu stratégique pour les organismes publics et privés. Les offres de cybersécurité disponibles sur le marché ne se valent pas toutes : degré d’efficacité, de robustesse, de confiance… Aussi, l’ANSSI a lancé en janvier 2018 une démarche de valorisation des activités de qualification et de certification, le « visa de sécurité ANSSI ».
Objectif : permettre aux acheteurs d’identifier les plus fiables, grâce à une évaluation réalisée par des laboratoires agréés.