Une petite structure attaquée par un rançongiciel aura du mal à s’en relever

#Sécurité 30/04/2019
Loïc Guézo, stratégiste cybersécurité pour Trend Micro, membre du bureau du Club de la sécurité de l’information français (CLUSIF)

 

Comment inculquer une culture de la cybersécurité ?

Le premier sujet à traiter, c’est la gouvernance. On ne fera rien de bien si les décideurs (direction générale, maire…) n’ont pas une bonne perception du risque. Sinon, toutes les parades techniques sont inutiles et le ratage garanti ! Soit le système ne sera pas assez protégé, soit on surprotégera certains aspects. Voire les deux. Il faut procéder au préalable à une analyse initiale de ce que je pourrais appeler les « joyaux de la couronne » : données, process métiers, négociations en cours… Puis il convient de déterminer les scénarios d’attaque et leurs impacts sur ces données, qu’elles soient confidentielles, politiques, personnelles, ainsi que sur les métiers, en cas de défaillance du système. La technologie intervient seulement ensuite, avec pour point de départ la politique sécurité des systèmes d’information. C’est un document fédérateur qui explique les enjeux et les moyens pour y répondre, déployé par un responsable opérationnel, doté d’un budget et d’une équipe. Idéalement, il faut aussi adopter un plan pluriannuel de la sécurité, aussi bien pour des opérations régulières, comme la sensibilisation, que ponctuelles : changements d’infrastructures, installation de nouveaux équipements de sécurité… La sécurité peut s’appuyer sur les normes type qualité ISO 27001. Et, bien sûr, il faut si possible un minimum de ressources pour assurer les mises à jour et suivre en temps réel ce qu’il se passe sur l’infrastructure, sachant que les attaques sont là 24h sur 24, chaque jour de la semaine.

Que peut faire une collectivité qui dispose d’un petit budget ?

Si elle n’a pas les moyens de s’adresser à un prestataire de sécurité, il est très important qu’elle demande qu’une clause de sécurité figure dans le contrat de son site web (contrat d’hébergement, de nommage…). Cette demande expresse d’intégrer la sécurité augmentera obligatoirement l’efficacité du service qui lui sera livré. Par ailleurs, une petite structure a davantage intérêt à investir dans une solution antispam de bon niveau que dans une protection du poste de travail complexe, car celle-ci nécessite des ressources pour effectuer le minimum de suivi. Pour cette solution, il s’agit de services dématérialisés qui, pour un investissement très raisonnable, nettoient les mails en amont avant que le destinataire ne les reçoive, ce qui limite les risques d’exposition aux attaques, dont les trois quarts proviennent de mails malveillants. Si une petite structure est attaquée, par un rançongiciel notamment, elle ne s’en relève pas toujours.

Quels autres conseils pourriez-vous donner ?

Ne pas attendre pour augmenter le niveau de cybersécurité, en particulier pour les petits organismes. La cybercriminalité est aujourd’hui prise en compte au plus haut niveau et de façon accrue : l’État la décline dans tous ses départements ministériels, qui sont eux-mêmes en relation avec les entreprises et les collectivités.

Prévoir une clause de sécurité dans le contrat d’un site web.

Mieux vaut se préparer le plus tôt possible à rendre des comptes sur les précautions qui ont été prises, plutôt que d’attendre le moment où elles seront devenues obligatoires. Par ailleurs, il faut garder un sens critique : ne pas sauter à pieds joints sur des informations qui paraissent trop alléchantes et identifier les sources fiables comme l’AFP ou le site hoaxbuster.com, qui a fait ses preuves pour débusquer les canulars.