©Fotolia - Pixsooz
©Fotolia - Pixsooz
©Fotolia - Pixsooz
Publicité
Résumé

La France serait le 3e pays le plus cyber attaqué au monde.Et les offensives ciblées contre les entreprises de moins de 250 salariés sont celles qui augmentent le plus. Quand elles sont détectées ! L'affaire Snowden engendre une prise de conscience mais les initiatives se multiplient pour mobiliser.

En savoir plus

Mobiliser les petits patrons, là où règne la loi du silence, car le sujet est tabou : question de réputation et parce que la loi n’oblige pas encore à révéler une attaque informatique. Sauf pour les opérateurs de communications électroniques. Mais les multinationales ne sont pas les seules touchées. Les PME, par manque de temps, d'argent, d'organisation ou tout simplement d'intérêt, sont devenues des cibles de choix. D’après le rapport mondial du leader américain en sécurité (Symantec), ces petites et moyennes sociétés étaient en effet la cible de 31 % de ce type d’attaques en 2012, contre 18 % en 2011. Très peu de chiffres sont en revanche disponibles uniquement pour la France.

Manuel Valls au FIC de Lille le mardi 21 janvier 2014
Manuel Valls au FIC de Lille le mardi 21 janvier 2014
© Radio France - Eric Chaverou

Au Forum International de la Cybersécurité de Lille, Manuel Valls a toutefois évoqué mardi les préjudices de 480.000 € et 450.000 € pour deux PME victimes en décembre d’escroqueries aux faux ordres de virement. « Depuis 2011, ce type d’escroquerie représente un préjudice estimé à plus de 200 millions d’euros pour les entreprises françaises » a-t-il ajouté, en demandant un indicateur statistique précis de la cybercriminalité. Il devrait émaner d'un tout nouveau Centre Expert de lutte contre la Cybercriminalité Français (CECyF) qui regroupe deux universités (Montpellier 1, Université technologique de Troyes - UTT), une école d'ingénieurs (Epita), trois services de l'Etat (Gendarmerie nationale, Enquêtes fiscales, Douanes), quatre entreprises (CEIS, Microsoft, Orange, Thales) et deux associations (Alliance internationales de lutte contre les botnets, Association francophone des spécialistes des l'investigation numérique). Alors qu'un centre européen contre la cybercriminalité (EC3) a aussi été inauguré à La Haye il y a un an.Pendant ce temps, les 260 gendarmes N-Tech enquêteurs établis sur l’ensemble du territoire en sont souvent réduits à constater les dégâts. Comme le raconte Laurent Frappart, chef du groupe cybercriminalité de la gendarmerie du Pas-de-Calais , à propos d’un cas récent « emblématique », rançon à l'appui :

Publicité

Écouter

5 min

Phishing
Phishing
  • Le "rançon-logiciel" (évoqué ci-dessus) bloque un système informatique jusqu’au versement d’une somme libératoire. Somme souvent peu élevée pour obtenir d’autant plus rapidement son paiement. Les spécialistes s’attendent bientôt à de tels mécanismes sur mobiles.- Le phishing, ou hameçonnage, est un classique utilisé pour tromper quelqu’un via un faux courriel d’une société de référence souvent une banque. Et le spear phishing s’attaque désormais aux assistantes de direction en leur demandant d'imprimer un document pour leur patron, via un lien contenant un "maliciel".- Cloud, réseaux sociaux et applications mobiles, en particulier pour Androïd, sont aussi devenus des plateformes de prédilection pour les pirates. Experts en profilage en ligne de leurs victimes, ils peuvent en déduire par exemple des mots de passe. Sans oublier des techniques d'infection qui permettent du vol de bande passante, très souvent indétecté. Plus globalement, les attaques détectées l'étant en moyenne au bout d'un an !La sécurité, c'est souvent du bon sens et des questions simples Pour tenter de prévenir ces affaires, l’ANSSI embauche et multiplie ses initiatives.
L'ANSSI recrute
L'ANSSI recrute

Cette agence de la sécurité des systèmes d’information, née en 2009 et qui dépend de Matignon, publie de nombreux guides, dont un de référence sur l’hygiène informatique comprenant 40 règles de base. Et après avoir labellisé des produits, elle commence à faire de même pour des prestataires, si nombreux et pas toujours fiables.

Mais le directeur général de l’ANSSI, Patrick Pailloux , souligne la responsabilité de chacun dans les entreprises, en particulier celle des patrons. A l’heure notamment des outils mobiles, smartphones et tablettes, et du matériel personnel utilisé pour travailler (BYOD, abréviation de « Bring your own device ») :

Écouter

7 min

Président de la société de cloud 100% française NBS System, Arnaud Becquart est justement l’un de ceux à mettre au point en ce moment avec l’ANSSI les futures garanties de ces services de données externalisées. Un cadre devenu indispensable dans un secteur en plein développement, mais dont les entrepreneurs craignent énormément les failles de sécurité, d'autant que les législations nationales ne sont pas harmonisées :

Écouter

4 min

Illustration des interrogations à propos du cloud : pendant des mois, l'UMP s'est battue contre la filiale française du géant américain Oracle pour récupérer la base des coordonnées de ses adhérents. Et le parti a fini par avoir gain de cause en référé !

Dépliant sur les cybermenaces pour les entreprises
Dépliant sur les cybermenaces pour les entreprises
© Radio France - Eric Chaverou

Pour avertir encore et encore, gendarmerie et police proposent aussi aux entrepreneurs des documents de sensibilisation, ainsi que des conférences et des audits et diagnostics gratuits de vulnérabilité de leur matériel. Alors que la Réserve Citoyenne Cyberdéfense a même son groupe PME. Sans oublier les actions et réflexions du "Club de la Sécurité de l'Information Français" (Clusif).

Plus globalement, les révélations d’Edward Snowden ont également interrogé les petits patrons . Et leur cybersécurité commence à devenir une préoccupation alors que les ministres eux-mêmes ont été interdits de smartphones et de tablettes grand public. Reste que sur Twitter, vous nous avez avant tout indiqué des dangers persistants :

Et si les polices d’assurance cyber se développent, Jérôme Gossé, du groupe Zurich , explique que ce sont avant tout de grands groupes qui investissent dans ce qui a été lancé aux Etats-Unis :

Écouter

7 min

Autre tendance des grands groupes : exiger de plus en plus de rigueur numérique de la part de leurs prestataires. Eric Doyen, responsable sécurité de l'information du groupe de protection sociale Humanis , finalise ainsi une Charte pour éviter les attaques informatiques indirectes. Pas question qu’une PME ne devienne, souvent sans le savoir, le cheval de Troie d’une offensive plus vaste qui ne la concerne pas :

Écouter

3 min

"Apprendre les attaques des pirates pour mieux se défendre"

Challenge de lutte informatique défensive du FIC 2014, à Lille
Challenge de lutte informatique défensive du FIC 2014, à Lille
© Radio France - Eric Chaverou

Enfin, la meilleure défense restant l’attaque, beaucoup en appellent aux hackers éthiques. Avec depuis 2008 à Maubeuge, une formation unique en Europe de sécurité offensive, liée à l'Université de Valenciennes. Ses étudiants sont systématiquement embauchés souligne Franck Ebel, responsable de cette licence CDAISI, salarié chez Athéos et commandant de gendarmerie réserviste :

Écouter

4 min

Une faille juridique ? Depuis quelques jours, la question fait beaucoup jaser. Et pour Thiébaut Devergranne , aucune hésitation : Il est désormais légal d’attaquer des sites web (pour “tester” leur sécurité) ! Ce consultant spécialisé en droit des nouvelles technologies détaille ainsi sur son blog « une énormité qu’un RSSI avisé à eu la gentillesse de me transmettre ». Une « bourde de rédaction » de la toute récente Loi de programmation militaire (LPM) :

Écouter

3 min

Enquête d'Eric Chaverou