Retour aux articles

Coup d’envoi du mois européen de la cyber-sécurité

Tech&droit - Données
02/10/2018
Mounir Mahjoubi a lancé le 1er octobre dernier le « Cyberoctobre 2018 ». Un mois pour amener particuliers et entreprises à prendre conscience de l’importance des cyber-risques et à s’en prémunir.
Chaque année, a lieu en octobre une compagne de sensibilisation à la sécurité du numérique coordonnée en France par l’Agence nationale de la sécurité des systèmes d’information (l’ANSSI).
Lors de son lancement, des experts ont débattus des risques et des enjeux liées à de telles attaques et sur la manière de s’en protéger.
 
Une recrudescence des pratiques malveillantes sur internet
Dans son propos introductif, Mounir Mahjoubi, secrétaire d’État chargé du numérique, a évoqué des pratiques qui polluent le web, de nature « à éloigner les personnes du numérique » alors qu’il faut les y intégrer. Il a également fait le constat d’une augmentation du nombre de ces actions malveillantes, citant :  
« L’addition et l’accumulation de ces risques (…) obligent à faire prendre conscience à chacun de l’impérative nécessité de se protéger » a encore insisté Mounir Mahjoubi.
 
Les bonnes pratiques à l’usage des particuliers et des entreprises
Delphine Gény-Stéphann, la secrétaire d’État auprès du ministère de l’Économie et des Finances, est pour sa part revenue sur l’importance pour les particuliers comme les entreprises d’adopter une « bonne hygiène numérique ». Ce qui passe, pour Mounir Mahjoubi par trois gestes essentiels :
  • faire des sauvegardes ;
  • faire des mises à jour ;
  • disposer d’un antivirus.
 
Une compagne spécifique sera d’ailleurs lancée cette semaine, en partenariat avec les CCI et les experts-comptables, pour sensibiliser les PME-TPE sur ces gestes de base, mais d’une grande importance.
 
Une autre bonne pratique consiste à porter plainte en ligne, sur un site dédié. Christophe Marais, capitaine de police et expert présent à la conférence, a ainsi mis l’accent « sur l’importance de déposer plainte le plus rapidement possible. Cela peut déboucher sur une procédure pénale mais surtout cela permet à la police de cartographier la délinquance numérique ».
 
Assurer le risque numérique
Une étude menée en 2018 par la DFCG, avec la société EulerHermes révèle que 70 % des entreprises sondées ont été victimes d’au moins une tentative de fraude sur internet (v. Fraude et cybercriminalité : les conclusions du baromètre DFCG 2018). Sébastien Hager, responsable souscription assurance fraude chez EulerHermes, a évoqué une « industrialisation des attaques », qui se décline en une propagation des attaques dites « ransomwares » (logiciel de rançons de type Wannacry qui prend en otage les données des entreprises), d’arnaques aux faux-mails ou de phishing (obtenir des renseignements personnels dans le but d’usurper ensuite une identité).
 
Un chiffre qui met en exergue  la nécessité de se prémunir d’une assurance couvrant le risque cyber. Mais pour Gil Delille, expert, directeur des risques du SI Groupe Crédit Agricole SA, si « l’assurance fait partie du dispositif de protection, mais elle arrive a posteriori. Ce n’est pas l’assurance qui va restaurer les données ».
Alain Bouillé, président du club des experts de la sécurité de l’information et du numérique (CESIN) préfère parler de « cyber-résilience » et souhaite inciter les entreprises à augmenter leur capacité à « rebondir » après une attaque, notamment en prévoyant un « plan b ».
 
Le rôle moteur de l’État
La personne publique est elle aussi concernée. Pour Bruno de Laigue, l’État doit être une « locomotive de l’évangélisation dans la prise de conscience de la cyber-fraude ».
 
La secrétaire d’État a annoncé des mesures allant dans ce sens, orchestrées par Bercy. « Nous avons mis en place avec un certain nombre de sites partenaires (…), un outil qui permet sous la forme d’un bandeau de couleur qui permet d’indiquer de manière simple et visuelle si le navigateur que vous êtes en train d’utiliser bénéficie bien de la dernière mise à jour ».
 
Par ailleurs, la ministre a annoncé que les marchés publics de service informatique, « font l’objet de clauses spécifiques à la cyber-sécurité ». Un cahier des clauses simplifiées a ainsi été publié à l’attention des acheteurs, afin de définir « un cadre contractuel minimal » (Arr. 18 sept. 2018, portant approbation du cahier des clauses simplifiées de cybersécurité, NOR : ECOP1825228A).
 
La responsabilisation des plateformes en ligne
Les plateformes internet sont bien sûr associées à cet impératif de sécurité. Vincent Courson, expert « trust and safety » chez Google a ainsi insisté sur l’intérêt pour les opérateurs de sécuriser leur site par protocole « https ». « Depuis 2015, l’usage de ce protocole est passé en France de 36 % à 86 % ».
 
La protection des utilisateurs d’internet est également le souci des navigateurs. Vincent Courson est revenu sur le rôle des notifications lorsqu’une personne tente de se connecter à un site malveillant. Son efficacité passe selon lui par « un interstitiel avec un aspect visuel interpellant » la personne.
 
Sur les sites de commerce en ligne, la sécurité passe par des « certifications » qui renseignent les personnes sur la fiabilité du site, explique Fabien Lemarchand, responsable de sécurité des systèmes d’information. En effet, « avec la certification, on a tous les ans un organe indépendant qui va évaluer le niveau de sécurité de l’entreprise qui propose du paiement en ligne ».
 
Une démarche de co-construction
Delphine Gény-Stéphann a insisté dans sa conclusion sur la collaboration entre les entreprises et l’État, pour « lutter contre la cybercriminalité ». Il s’agit également d’inclure cet objectif dans « le plan de numérisation des TPE et PME ».Et ce d’autant que « les GAFA unissent leurs efforts en recherche fondamentale en matière des cyber-sécurité parce qu’ils ont conscience qu’elle est l’affaire de tous », a rappelé Vincent Courson.
 
Un mois de sensibilisation, qui prendra la forme de de conférences publiques organisées un peu partout en France. En voici le programme complet...