« On peut être visé par une cyberattaque, mais aussi en être victime par rebond »
Chaque système d’information peut-il être visé par une cyberattaque ?
Dans un monde désormais hyper-connecté et face à la sophistication accrue des cybermenaces, aucun système d’information ne peut aujourd’hui être parfaitement à l’abri. Notre rôle chez Thales est de tout faire pour qu’une attaque n’advienne pas, mais aussi de prévoir que cela puisse arriver : c’est pourquoi l’anticipation et la préparation sont fondamentales. On constate que 99% des attaques proviennent de failles sur des systèmes qui ne sont pas actualisés… La première façon de se préparer est donc de maintenir son système à jour. Dans de nombreux cas, appliquer des règles de base suffit à écarter la plupart des menaces : adopter et appliquer une politique de sécurité, effectuer les mises à jour et choisir de bons mots de passe. Il faut également entraîner les utilisateurs, un peu comme les exercices incendie. Se préparer commence aussi par s’exercer.
Que faire face à une attaque ?
En cas de soupçon, la première règle est de ne pas éteindre l’ordinateur. Au moindre doute, l’utilisateur ne doit surtout pas chercher à résoudre le problème lui-même : il doit se déconnecter, en enlevant le câble réseau ou en éteignant le wi-fi, et appeler le responsable de la sécurité informatique. Une traçabilité efficace des événements (les « logs ») et des équipes compétentes facilitent l’investigation. D’une façon générale, il faut faire appel à des spécialistes, aussi bien pour la détection d’attaque et la réponse sur incident que pour les audits de sécurité, domaines pour lesquels Thales est référencé par l’ANSSI comme prestataire de confiance.
Les conséquences d’une cyberattaque sont beaucoup plus onéreuses que la sécurité elle-même… Pour assurer une bonne protection, la cybersécurité devrait représenter 8 à 10% du budget total d’une DSI, mais elle ne dépasse généralement pas 2 à 3%. Les grandes attaques WannaCry et NotPetya du printemps 2017 ont fait perdre des dizaines de millions d’euros à certaines entreprises. Or, le correctif de sécurité qui aurait permis de les contrer était… gratuit.
Après une cyberattaque, un organisme peut-il être mis à l’amende pour atteinte à la vie privée ?
En application du RGPD, la CNIL peut prononcer des amendes significatives contre l’organisme qui n’a pas pris les moyens suffisants pour protéger les données personnelles qu’il détient. La conformité d’un système doit être pensée comme un véritable projet d’entreprise sachant qu’il existe aussi des solutions techniques pour chiffrer les données – comme « Vormetric » de Thales – et empêcher ainsi les voleurs d’y accéder. Dans ce cas, d’ailleurs, le règlement précise qu’il n’est plus impératif de signaler l’attaque puisque les données sont inexploitables.
Thales est-elle attaquée ?
Comme toute organisation, Thales est régulièrement visée par des attaques. Notre SI est surveillé H24, afin de détecter toute tentative d’intrusion. La protection d’un système est un ensemble de compétences, de produits, de services et de procédures à appliquer et faire vivre pour faire face à l’évolution permanente des menaces. Quelle que soit l’entreprise, publique ou privée, l’attaque de son SI est toujours une surprise, aux conséquences plus dramatiques que ce qu’on imagine, allant jusqu’à une crise de fonctionnement. Car nous sous-estimons souvent notre ultra-dépendance à l’informatique. Dans ce monde interconnecté, on peut être visé directement par une attaque, mais on peut aussi en être victime par rebond.