« 99% des attaques cyber sont faites par des cons pour des cons »
Cette phrase choc d’Alain Bauer, professeur de criminologie français, résume bien la situation… Cependant, si la formule vous a d’abord fait sourire, détrompez-vous, le message qui se cache derrière est bien plus grave.
Mais alors, qu’est-ce que le professeur Bauer a-t-il voulu nous dire en réalité ? Que voulait-il imprimer dans nos esprits avec ce slogan provocateur ?
La cybersécurité à l'ordre du jour
Le problème pointé du doigt par Alain Bauer et les autres intervenants de l’Université AFCDP du 9 février dernier n’est pas nouveau. Et c’est justement ça, qui constitue le problème en lui-même. Il y a en France de plus en plus de cyberattaques sur toutes sortes de structures (entreprises, municipalités, hôpitaux…) et les TPE/PME ont toujours autant de mal à intégrer les bonnes pratiques et à investir dans leur cybersécurité. Tandis que les outils et les technologies de cyberattaques ont toujours une longueur d’avance. Parmi celles-ci, on remarque une forte augmentation de logiciels d’espionnage, qui exploitent toute faille de sécurité détectée. Notamment au travers de nos précieux smartphones. Et oui ! car ces terminaux connectés en permanence, qui contiennent « toute notre vie », sont bien souvent très peu, voir pas du tout protégés. La conscience populaire oublie souvent qu’il est tout aussi important de les sécuriser que les ordinateurs.
L’ANSSI (2) fait le même constat et tient le même discours. Elle insiste également sur la nécessité de faire des scans de vulnérabilité. S’il est important de s’arrêter sur ce point, ce n’est pas uniquement pour des raisons de technicité. C’est avant tout pour faire comprendre à toute entité ayant un système informatique, que le risque de cyberattaques les concerne toutes ! En effet, les hackers d’aujourd’hui ne s’en tiennent plus à des attaques ciblées mais font des recherches de vulnérabilité pour dénicher leurs prochaines cibles. Ils ratissent large et cherchent des failles de sécurité qui leur permettront d’entrer dans les systèmes. Et ça peut se payer au prix fort. Les dernières tendances en matière de cybercriminalité sont le ransomware et le vol de données. Dans le premier cas, on crypte vos données et on vous demande une rançon pour les récupérer. Rançon qui varie entre 40 000 et 100 000 euros selon les occurrences, et 60% des PME visées ne s’en relèvent pas. Dans le cas du vol de données, l’enjeu est encore plus grand, puisqu’au-delà de la perte financière, les hackers menacent d’exposer publiquement vos données. De manière sournoise, les hackers peuvent aussi utiliser vos données pour vous faire parvenir des arnaques personnalisées sur le web, auxquelles vous risquez d’être plus sensibles et plus tentés de cliquer.
La cybersécurité trop souvent négligée
Le plus terrible, ce qui désole les experts en cybercriminalité aujourd’hui, c’est que ce sont toujours les mêmes failles qui perdurent. D’où la phrase choc d’Alain Bauer, qui veut nous faire comprendre que, si la cybercriminalité continue de sévir en France dans les années à venir, nous ne pourrons nous en prendre qu’à nous-mêmes. Comme souligné par Alain Bouillé, délégué général du CESIN (3), dans une interview pour le Figaro : “Le non-respect de l’hygiène numérique de base, y compris de la part d’administrateurs informatiques, reste la première cause des incidents de sécurité”. Les professionnels de la cybersécurité déplorent le déni français face à cette menace grandissante. Dans bien des cas, les dirigeants de TPE/PME, comme beaucoup de français encore, pensent que cela n’arrive qu’aux autres. Les chiffres parlent pourtant d’eux-mêmes pour dire qu’un jour, l’autre ce sera vous ! Alors arrêtons de faire l’autruche, réfléchissons et prenons nos responsabilités, individuellement et collectivement.
Comment nous défendre ? Une question qui touche à la cybersécurité des données à caractère personnel, mais aussi à la protection des données industrielles. Empêcher que les données propres à votre activité soient subtilisées et utilisées contre vous. A plus grande échelle, il s’agit aussi du nouvel enjeu pour l’industrie française. La nouvelle directive européenne « The Network and Information Security II » prévoit le caractère obligatoire d’un renforcement en cybersécurité pour toute entité et tout secteur, ainsi que des conséquences juridiques en cas d’attaque. La NIS II est entrée en vigueur le 16 janvier 2023, et les pays de l’UE ont jusqu’au 17 Octobre 2024 pour transposer ces mesures en lois nationales.
La cybersécurité capitale pour l'avenir du numérique
Malgré les réticences, les mentalités évoluent. Le RGPD et la cybersécurité souvent perçus comme des contraintes, sont de plus en plus intégrés comme des leviers de business. Mathilde Gérot, avocate counsel chez Signature Litigation, parle même « d’avantage concurrentiel » (4). C’est un mouvement qu’il faut cultiver et mettre à profit pour le renforcement des bonnes pratiques. L’origine du problème se trouve dans le fait qu’en France, on subit l’informatique. Beaucoup trop souvent, les gens n’ont pas appris à complètement exploiter les systèmes d’information. Ce qui fait qu’aujourd’hui, nous sommes encore trop dans la résilience face aux cyberattaques, plutôt que dans la résistance. Autrement dit, nous essayons de limiter au maximum les effets de la cybercriminalité, au lieu de chercher à corriger profondément les choses pour nous en prémunir.
Diane Rambaldini, présidente cofondatrice de l’ISSA (5) France Security Tuesday faisait remarquer, lors de l’Université AFCDP des DPO, qu’en Chine, TikTok est utilisé comme un moyen d’apprentissage pour les jeunes générations. Elle suggère que nous nous inspirions de ce modèle de mise à profit des outils connectés. Elle explique que si en France nous ne nous approprions pas les technologies, si celles-ci ne servent qu’à l’appauvrissement intellectuel des jeunes, alors il ne faudra pas s’étonner du résultat lorsqu’à la fin nous compterons les points. La présidente de l’ISSA, résume en un mot l’idée sous-jacente à cette illustration : l’acculturation ! Elle nous éclaire en indiquant qu’il faut aller plus loin que la sensibilisation au RGPD et à la cybersécurité. Pour répondre aux exigences de la NIS II, il va falloir une véritable assimilation culturelle de ces domaines et des compétences qui en découlent.
La cybersécurité accessible à tous
De manière plus globale, Philippe Latombe, membre de la CNIL (6), appelle à la souveraineté de la donnée. Il revient sur le fait qu’il faut aller au-delà du débat sur les données à caractère personnel et étendre la réflexion aux données industrielles. Pour y parvenir, le député de la Vendée souligne l’importance du sens critique face aux géants internationaux du numérique, aussi connus sous le nom des GAFAM (7). A l’heure actuelle nous ne sommes pas capables de rivaliser avec eux. Les Etats et les grands groupes devraient montrer l’exemple et investir dans le développement de technologies équivalentes souveraines en Europe.
Bilan de cette journée avec l’AFCDP, la cybersécurité des données à l’avenir dépend de plusieurs facteurs. La structuration de la règlementation aux niveaux national et européen. La recherche de solutions innovantes et compétitives. L’acculturation de tous et la formation des jeunes générations dans ces domaines.
Si ce n’est pas déjà fait, faites vérifier votre hygiène numérique et votre niveau de sécurité avec un scan de vulnérabilité. Chez Bell Vision nous sommes là pour vous accompagner dans votre démarche. Vous serez plus sereins et vos partenaires aussi !
(1) Association Française des Correspondant à la protection des Données à caractère Personnel.
(2) Agence Nationale de la Sécurité des Systèmes d’Information.
(3) Club des experts de la sécurité de l’information et du numérique
(5) Information Systems Security Association.
(6) Commission Nationale Informatique et Libertés.
(7) Google, Apple, Facebook, Amazon et Microsoft.