Archive mensuelle 21 octobre 2020

Depuis quelques années, l’émergence des réseaux de distribution intelligents d’énergie (smartgrid), le déploiement de compteurs communicants et la propagation rapide des objets connectés (IoT = internet des objets) dans la maison (smarthome) permettent aux clients et aux acteurs du secteur de l’énergie respectivement de nouveaux usages et de nouvelles offres innovantes.

Ces usages sont basés sur les données collectées et traitées par l’ensemble de ces dispositifs. Parmi ces données, il y a des données personnelles. Depuis mai 2018, la collecte et le traitement de ces données personnelles sont soumis à l’application du Règlement général sur la protection des données (RGPD).

Quelles sont les points d’attention à respecter par les acteurs du secteur de l’énergie qui collectent et traitent ces données ?

Tout d’abord, quelles sont les typologies de données collectées ?

Exemples de données collectées :

• La courbe de charge (historique de sa consommation d’un usager) issue du compteur communicant. Son analyse permet de déduire par exemple :
  • Le nombre de personnes vivant dans le logement,
  • Des informations sur la vie de la ou des personnes vivant là, telles que les heures de levée et de coucher, les périodes d’absence.
• Les données issues des objets connectés tels que des capteurs et régulateurs équipant des appareils domestiques (réfrigérateur, chauffage, machine à laver, contrôle des volets…) qui peuvent constituer un système de domotique.
• Les données liées au rechargement d’un véhicule électrique…

Quels sont les usages issus de ces données ?

Ces données permettent, par exemple :

• D’évaluer la consommation du logement.
• De gérer les équipements de la maison via un système domotique.
• Pour un fournisseur d’énergie :
  • De réaliser un bilan énergétique et de proposer des travaux d’isolation, le changement d’appareil domestique qui consomment trop d’énergie.
  • D’adapter la consommation aux évolutions du cours de valorisation de l’énergie et donc d’optimiser le coût pour l’usager.
  • De faire de l’effacement, c’est-à-dire suspendre ou réguler le fonctionnement d’appareils domestiques tels que lave-vaisselle, lave-linge… en cas de pic de consommation.

Quelles sont les points d’attention à respecter par les acteurs du secteur de l’énergie qui collectent et traitent ces données ?

Au regard du RGPD, le responsable de traitement (entité considérée comme responsable des données personnelles collectées et traitées), ici, un fournisseur d’énergie, doit s’assurer que pour chaque donnée personnelle collectée et traitée :

• Corresponde bien une finalité déterminée, explicite et légitime.
• La collecte a été :
  • Licite, c’est-à-dire réalisée sur une base légale. En fonction de l’usage, il peut s’agir d’une base contractuelle, du consentement de l’usager…
  • Loyale et transparente, c’est-à-dire que l’usager a bien été informé de la collecte des données et de leurs traitements prévus, de leurs finalités.
• La durée de conservation est bien définie et n’est pas disproportionnée.
• Les données personnelles sont protégées. Il s’agit essentiellement de protection cyber qui permettent de garantir l’intégrité, la disponibilité, la confidentialité et la résilience des données.
• Les données ne font pas l’objet d’une sous-traitance, d’une vente car dans ces 2 cas des conditions complémentaires sont exigées, et plus encore, lorsque les données font l’objet d’un transfert hors Union Européenne.
• L’aptitude du responsable de traitement de permettre à l’usager de faire respecter ses droits, par exemple le droit d’opposition (à de la collecte de certaines données).

Energie, big data et RGPD

Le secteur de l’énergie a accès à une quantité croissante de données issue des compteurs communicants, des objets connectés de la maison, des réseaux de production et de distribution de l’énergie (smartgrid) et d’autres sources (ex : météo). Afin d’offrir à leur client les meilleurs produits et services, les entités (entreprises, association, organismes publics) doivent être capable de traiter ces masses colossales de données. Pour cela, elles peuvent s’appuyer sur les technologies big data, intelligence artificielle… Mais avant tout, pour les données personnelles collectées et traitées, elles doivent s’assurer de respecter le Règlement général sur la protection des données (RGPD) sous peine de sanctions, de perte de confiance de ses clients et d’atteinte à sa réputation.

La pandémie au covid-19 a entrainé une adoption massive du télétravail dans les entités (entreprises, associations, organismes publics). Pour un travail distant efficace et attrayant, pour le collaborateur et pour l’entité, il faut mettre en place des solutions disponibles, flexibles, performantes et sécurisées.

Quelles sont les solutions les plus pertinentes pour un travail à distance efficace mais sécurisé ?

NB : il n’existe pas de solutions garantissant la cybersécurité totale de vos SI (Systèmes d’Information). Mais la mise en place de toutes ou du maximum de ces solutions réduira considérablement votre niveau d’exposition.

Le choix de l’équipement

Il est de loin préférable, si vos budgets vous le permettent, que les collaborateurs utilisent un poste de travail (mobil) fournis par l’entité, à l’exception éventuellement pour les smartphones et les tablettes. En effet, votre équipe informatique (si vous en avez une) pourra configurer et maintenir les dispositifs de sécurité de chaque poste. A défaut, utiliser un ordinateur personnel comporte des risques importants. En effet, l’absence de dispositifs de sécurité suffisants sur des postes personnels est très fréquents, car cela nécessite des compétences de professionnels. De plus, certaines utilisations personnelles sont très exposées aux cybermenaces : les jeux en lignes, les téléchargements douteux…

De plus, expliquez à vos collaborateurs comment aménager un lieu de travail agréable, ergonomique (pour éviter les mauvaises positions propices aux troubles musculosquelettiques par exemple), bien éclairé (pour éviter la fatigue oculaire). Rappelez également les règles du travail sur ordinateur : se lever régulièrement, faire des pauses…

Pour les collaborateurs qui travaillent beaucoup chez eux, si possible, les équipez de mobilier de bureau adapté.

Si la personne est beaucoup au téléphone, fournissez-lui, si possible un casque équipé d’un microphone.

La protection physique de l’équipement

En déplacement, ne laisser jamais votre poste sans surveillance.

Chez un client, attachez votre poste de travail avec un câble de sécurité lorsque vous vous absentez, quelques minutes. Pensez à verrouiller votre session avec un mot de passe, car l’envoie d’un mail de votre poste est très rapide à faire par malveillance ou par accident (chez vous, par un enfant en bas âge ou un chat qui joue sur le clavier). Programmez une mise en verrouillage automatique ainsi qu’un délai d’expiration de la session. Si vous vous absentez longuement, entreposer votre poste dans un endroit sécurisé tel qu’un bureau et une armoire verrouillé (les agents d’entretien ont accès à chaque bureau). Ne laisser jamais votre poste de travail dans un véhicule.

Si vous travaillez sur votre poste dans les transports, utilisez un écran de protection pour éviter les regards indiscrets.

Ne connectez jamais un clé USB dont vous ne connaissez pas la provenance (une clé USB trouvé dans le métro, la rue – il s’agit souvent de clés USB piégées déposées dans la rue à dessein) ou dont la provenance est douteuse (inconnu qui vous demande un service) et dont vous ne pouvez garantir la sécurité.

La protection cyber de l’équipement

Protégez votre poste de travail avec :

• Une solution antivirus et antimalware fiable. A défaut de budget suffisant, il existe des solutions gratuites.
• Un pare-feu.
• Un dispositif efficace de mise à jour automatique. En effet, les applications comportent de trop nombreuses vulnérabilités et les cybercriminels s’en tiennent constamment informés afin de les exploiter si possible, avant la mise en œuvre des correctifs, pour infiltrer la machine concernée. Il est donc essentiel de mettre à jour toutes les applications que vous utilisez.
• Une solution de chiffrement de vos données. Ainsi, en cas de vol de votre poste de travail, vos données seront inaccessibles.

Sauvegardez régulièrement vos données sur des disques durs externes et/ou dans un service cloud chiffré.

Pensez à vérifier régulièrement que vos sauvegardes fonctionnent car, désormais, les cybercriminels les attaquent aussi.

Pour vous connecter au réseau et applications de l’entité, mettez en place :

• Un VPN (Virtual Private Network), pour que les données échangées entre votre poste de travail et le SI auquel vous êtes connecté soient chiffrées et donc inexploitables en cas d’interception.
  • NB : les solutions VPN fournies à des fins de confidentialité (donc les VPN qui ne sont pas solutions d’entreprise) ne protègent les données qu’entre votre poste et le fournisseur VPN, et non entre le fournisseur VPN et le destinataire final. Votre connexion n’est donc pas sécurisée de bout en bout.
• Un accès aux applications, via des comptes nominatifs avec des droits d’accès limités aux besoins d’utilisation de chaque collaborateur.
• Une politique de mot de passe forte, avec un renouvellement périodique et idéalement une solution de gestion de mot de passe.
• Pour les applications en Saas, une authentification multifacteur. Par exemple : un profil et mot de passe, puis un code reçu par sms suite à la validation du profil / mot de passe.

Si vous utilisez une connexion Wi-Fi

Connexion Wi-Fi de votre domicile. Pensez à configurer votre connexion Wi-Fi pour utiliser un protocole de chiffrement suffisant – par exemple le WPA2 (et surtout pas le WEP, cassable en quelque minute) – avec un mot de passe d’accès fort. A défaut, un attaquant pourra intercepter toutes les données qui transitent par le Wi-Fi y compris vos données de connexion (profil, mot de passe).

Evitez le Wi-Fi public. Vous pouvez vous connecter en utilisant un point d’accès personnel, par exemple votre smartphone. A défaut, si vous devez utiliser un Wi-Fi public, utilisez impérativement un VPN.

Pour échanger avec vos collègues

Utilisez la messagerie de l’entité préalablement configurée par l’équipe informatique de l’entité. Si vous n’en avez pas, mettez-en une en place.

Concernant la visioconférence, utilisez une solution recommandée par l’ANSSI (Agence Nationale de Sécurité des SI). Les solutions grand-public comportent parfois des vulnérabilités. Les mots de passe de la solution de visioconférence doivent être régulièrement changés.

Sensibilisation et formation des collaborateurs

Sensibilisez et formez vos collaborateurs aux risques cyber et aux moyens de s’en prémunir.

Vous pouvez notamment énoncer les bonnes pratiques à respecter dans une charte informatique à diffuser aux collaborateurs, qu’ils s’engageront contractuellement à respecter.

Outre une sensibilisation et une formation régulière aux bonnes pratiques à appliquer, il faut les sensibiliser aux typologies d’attaques utilisées par les cybercriminels tels que les messages malveillants de type phishing.

Un modèle d’architecture de moins en moins adapté

La transformation du fonctionnement du numérique et par conséquent des architectures IT s’accélère actuellement.

Jusqu’à il y a peu, l’architecture était principalement centralisée sur un datacenter où l’ensemble des données de l’entité (entreprise, association, organisme public) est stocké, consulté, traité et partagé. Les utilisateurs sont majoritairement localisés dans un ou quelques sites géographiques avec parfois quelques collaborateurs itinérants. Ils accèdent au datacenter centralisé via un réseau sécurisé, tout deux dotés de plusieurs zones successives de défenses (cybersécurité) avec des pare-feu, des antivirus gérés par des équipes dédiées.  Dans cette architecture, il est difficile d’obtenir un accès au datacenter depuis l’extérieur. Mais tout le monde à l’intérieur du réseau est approuvé par défaut. Si parmi ces personnes, il y a une malveillante, elle peut accéder à l’ensemble des ressources de l’entreprises.

Mais depuis plusieurs années, du fait de la multiplication de l’utilisation du cloud, de la généralisation du travail distant (télétravail) et/ou mobil dans certains secteurs, en raison du covid, de la multiplication des objets connectés (IoT) bientôt boosté par la 5G, les entités ont :

• Leurs données, leurs appareils, leurs applications et leurs services souvent réparties entre le datacenter de l’entité et de nombreux fournisseurs de cloud.
• Leurs utilisateurs de plus en plus mobiles ou en travail distant.
• Un besoin de maîtrise et de contrôle de la cybersécurité des accès et de l’utilisation des données, appareils, applications, services.

Le modèle centralisé de Datacenter et de réseau sécurisé de l’entreprise devient obsolète. Il n’offre plus le niveau de performances, de sécurité et de contrôle d’accès dont les entités et leurs utilisateurs ont besoin.

Un nouveau modèle d’architecture

Pour faire face à cette transformation et ce besoin de cybersécurité, le Gartner a proposé en 2019, un nouveau modèle d’architecture, le « Secure Access Service Edge » ou SASE (prononcer «sassi»).

Le SASE :

• Identifie les utilisateurs et les terminaux utilisés,
• Applique une sécurité basée sur les politiques de l’entité,
• Fournit un accès sécurisé à l’application ou aux données appropriées.

Cette approche permet aux entités d’appliquer un accès sécurisé quel que soit l’emplacement de leurs utilisateurs (collaborateurs, prestataires sous contrats), applications ou appareils.

Le SASE constitue un changement des principes d’architecture IT qui s’éloigne du modèle d’architecture centralisé, vers un modèle d’architecture décentralisé.

Cette approche architecturale fait converger les exigences de réseau et de sécurité en une solution unique dans le cloud. Le SASE distribue l’accès des utilisateurs aux ressources de l’entité au lieu de les regrouper en un seul endroit.

Il permet de répondre ainsi aux besoins de transformation numérique rapide des entités, d’adoption des nouvelles technologies et de mobilité des personnes.

Quels sont les apports du SASE ?

Le modèle SASE peut apporter à votre entité :

• Flexibilité : avec une architecture basée sur le cloud, vous pouvez mettre en œuvre et fournir autant de services de sécurité que vous le souhaitez tels que :
  • Une prévention des menaces,
  • La sécurité DNS,
  • Le filtrage Web,
  • Le sandboxing des fichiers suspects,
  • La protection contre le vol d’informations d’identification,
  • La prévention de la perte de données.

• Baisses de coûts : vous pouvez simplifier votre architecture informatique, au lieu d’avoir recours et à gérer plusieurs produits ponctuels pour maintenir les serveurs et la sécurité en interne. Consolider votre pile de sécurité dans une seule plate-forme chez un seul fournisseur cloud réduira considérablement vos coûts et vos ressources informatiques et produira des économies d’échelle.

• Complexité réduite et prévention des menaces : En choisissant un fournisseur SASE, vous pouvez gérer tous les aspects de la sécurité à partir d’une seule console. Vos équipes de sécurité peuvent :
  • Surveiller qui est connecté au réseau,
  • Analyser toutes les sessions d’accès,
  • Inspecter les contenus pour identifier les logiciels malveillants et les données sensibles,
  • Créer des règles de pare-feu,
  • Mettre à jour les antivirus sur des appareils spécifiques
  • Rechercher des activités ou des attaques suspectes.
  • Isoler des terminaux individuels qui semblent être compromis.

• Performances améliorées : avec l’architecture cloud performante du fournisseur SASE, l’accès ininterrompu et immédiat aux applications, à Internet et aux données de l’entité pourra être disponible dans le monde entier grâce à un réseau privé (SD-WAN) composé de POP (Point of présence = point d’interface entre plusieurs réseaux ou dispositifs de communication) présents dans le monde entier. Ce réseau privé, au routage optimisé, permet d’acheminer les données en évitant les problèmes de latence d’internet. Ceci est crucial pour les applications de vidéo, de collaboration, de conférence Web, et toute autre application sensible à la latence.

• Accès Zero Trust «zéro confiance» (ZTNA = Zero Trust Network Access)  : il s’agit d’une approche dont le principe est de «ne jamais faire confiance, et de toujours vérifier l’identité des utilisateurs, des appareils et des applications qui tentent de se connecter au réseau de l’entité. Les connexions ne sont plus basées sur une adresse IP, mais sur la capacité de l’utilisateur, appareil et application à s’identifier correctement. Le personnel n’aura accès qu’à des applications spécifiques pour lui permettre de faire son travail.

Sur quelles technologies s’appuient le SASE ?

Le SASE fait converger en un seul service :

• Les services SD-WAN (Software Defined – Wide Area Network),
• Le pare-feu de nouvelle génération NGFW (physique) ou FWaaS  (basé sur le cloud),
• La passerelle Web sécurisée (SWG) : solutions unifiées de prévention des menaces, telles que le filtrage d’URL, l’antivirus, l’IPS, l’anti-bot et la prévention des attaques Zero-Day.l’accès
• Un accès ZTNA (Zero Trust Network Access),
• Les courtiers de sécurité d’accès au cloud (CASB : Cloud Access Security Broker). Service qui permet le contrôle des applications SaaS de l’entité, notamment en sécurisant l’accès aux applications et en éliminant les défis du Shadow IT.

Cette approche SASE est très récente, les offres ne sont donc pas encore totalement matures. Il faut choisir une offre totalement intégrée et non une offre proposant une multitude de produits assemblés qui seront difficiles à intégrés et ne permettront pas un fonctionnement optimal du SASE.

Perspectives

Le SASE répond à des besoins nouveaux qui se généralisent très rapidement : l’utilisation du cloud, le travail distant, les IoT. Cette approche, SASE, décrit donc probablement une architecture qui devrait s’inscrire dans la durée, révolutionnant ainsi les architectures IT.

Depuis la promulgation du « Cloud Act » américain et suite aux révélations du lanceur d’alertes Edward Snowden, nous savons que tout hébergement de données chez une entreprise américaine ou toute utilisation de ses services numériques, par une entité (entreprise, association, organisme public), est susceptible d’être scruté par l’administration américaine, ses agences et par extension, dans le cadre de la guerre économique internationale, par les adversaires américains de l’entité.

Certains pensaient que le « Privacy Shield » (accord sur le régime de transfert des données entre les Etats-Unis et l’Union Européenne) assuraient la conformité au RGPD pour toute donnée faisant l’objet d’un transfert aux Etats Unis. Mais depuis son invalidation le 16 juillet 2020 par la Cour de Justice Européenne, les illusions se sont totalement dissipées.

Désormais, il est temps de prendre conscience que la maîtrise de la souveraineté de vos activités passe par la maîtrise de la souveraineté des systèmes d’information (SI) qui les sous-tendent.

Une nouvelle ère digitale

Aujourd’hui à l’ère du monde digital, et de la guerre économique mondialisée, le numérique devient la base de toute activité professionnel, personnel, sociale et la donnée en est la matière première.

La souveraineté et la sécurité (intégrité, exhaustivité, disponibilité, résilience, respect de la vie privée) devraient en être les fondations.

La souveraineté, c’est la maîtrise technique et juridique de la gestion de ses données.

Or, à ce jour, l’Europe est dépendante des acteurs américains (les GAFAM) et asiatiques.

Or, l’extraterritorialité du droit américain, au travers en particulier du « Patriot Act » et du « Cloud Act » et la nature des régimes en Chine ou en Russie, ne permettent pas de garantir aux entités européennes que leurs activités et leurs données ne seront pas scrutées par ces états, leurs administrations et leurs agences de renseignement.

Un contexte favorable à l’action

Pour permettre aux entités européennes, la souveraineté et l’autonomie sur leur activités numériques, la France et l’Union Européenne doivent soutenir le développement d’une filière numérique de services d’hébergement cloud, de cybersécurité puis de services numériques, de classe mondiale.

Nous disposons pour cela en Europe, en particulier en France, d’atouts considérables. Il existe en France de nombreux opérateurs de cloud (dont le leader européen OVH) et de nombreuses entreprises spécialisées en pointe dans la cybersécurité. Cet écosystème a un fort potentiel. Nous disposons également de gros potentiels en intelligence artificielle, en cryptographie…

De plus, nous n’en sommes qu’au début de l’ère numérique. La multiplication des objets connectés boostée par la 5G crée de nouvelles opportunités d’usage, de nouveaux business modèles, de nouvelles cybermenaces.

Quels atouts potentiels d’une filière numérique souveraine

Une filière numérique (cloud et cybersécurité) souveraine européenne voir française, c’est, pour les entités (entreprises, associations, organismes publics) :

• Une offre de services numériques innovante plus large.
• Disposer et maîtriser de nos propres bases de données, riches et diversifiée ouvrant de nouvelles perspectives d’analyses et de recherches.
• Maîtriser la gestion, la gouvernance et la sécurité des données et de ses activités.
• Maîtriser la localisation géographique des données et des traitements.
• Faciliter la maîtrise de la résilience des activités.
• Des dispositifs performants de cybersécurité défensive mais aussi offensive.
• S’assurer un cadre réglementaire commun tel que le RGPD.
• Faciliter les recours juridiques grâce à des législations et des tribunaux locaux.
• Faciliter la gestion des prestataires, leur contrôle et audit et la réversibilité des prestations.

C’est aussi l’opportunité de proposer des services respectant les valeurs européennes notamment la protection des données personnelles, le respect de la vie privée, le blocage des lois extraterritoriales des puissance hors Union Européenne. C’est donc proposer sur le marché numérique internationale une alternative de haute valeur par rapport aux offres américaines et chinoises. Une opportunité pour l’émergence de futurs leaders du numérique mondiaux en Europe et en France.

Enfin, pour l’Europe et la France, c’est potentiellement :

• Des emplois,
• Du développement économique,
• Un instrument de suprématie, de concurrence dans le marché mondial du numérique,
• Un dispositif de dissuasion contre des attaques numériques.

Prérequis et perspectives

Cela suppose toutefois, une offre large, innovante, performante et compétitive. Cela prendra du temps.

Les américains ont une avance considérable dans le numérique avec des services très performants et très compétitifs. La Chine a rattrapé une partie de son retard.

Nos entités nationales (entreprises, associations, organismes publics) utilisent déjà, pour nombre d’entre elles, les services des GAFAM et parfois d’acteurs chinois tels que Alibaba. Leur priorité devrait être de reprendre, a minima, la maîtrise de leurs données sensibles et critiques.

Et non, le chiffrement des données n’offre pas une assurance raisonnable de protection de vos données. Cela n’empêche par exemple pas le possible blocage de votre accès à vos données.

Désormais, il faut une volonté et surtout une vision politique à long terme sur le positionnement du pays dans le numérique. Une vision française et européenne, des budgets conséquents et des marchés publics réservés aux acteurs français et européens.

Il faut créer des formations sur le numérique à la hauteur des enjeux (des filières d’excellence), les conditions pour conserver les meilleurs talents, des crédits conséquents pour la recherche.

Il faut créer des organismes de défense, de veille et d’attaque français et européens.

L’initiative franco-allemande GAIA-X visant à définir les conditions à la création d’un cloud européen est-il le signe, enfin, d’une prise de conscience de ce besoin de souveraineté ? L’avenir nous le dira.

A défaut, la France et l’UE seront totalement dépendants des grandes puissances numériques et perdront totalement leur souveraineté.

Les cyberattaques concernent aujourd’hui les particuliers et les entités (entreprises, associations, organismes publiques) de toutes tailles et de tous secteurs. Chaque jour révèle son lot d’attaques d’envergure plus ou moins grande.

Les technologies sont utilisées partout. De nos PC, tablettes, smartphones, elles se sont progressivement immiscées dans nos objets du quotidien (montres, brosse à dents, électroménager, enceinte connectée…). Mais désormais, boostées par l’IoT (l’internet des objets) et bientôt la 5G, elles envahissent désormais tout : à la maison (smarthome), les transports (véhiculent autonomes…), nos villes (smartcity), les réseaux (smartgrid…), le monde industriel (usines 4.0).

Ces technologies produisent de grandes quantités de données, parfois des données personnelles, parfois des données sensibles voir stratégiques.

La sécurisation des SI est nécessaire mais même dotés des meilleures protections, des failles subsistent toujours (les vulnérabilités zéro-day par exemple).

Le contexte actuel de pandémie, qui a contraint l’adoption massive du télétravail dans l’urgence, a entrainé le déploiement à la va vite de solutions informatiques peu sécurisées, donc sans grande maîtrise des risques et sans mise en place des dispositifs de cybersécurité adéquats. 

Ainsi, des failles existent et/ou subsistent. Les pirates, dont beaucoup se sont professionnalisés et regroupés, les utilisent.

Mais comment comprendre et faire face aux cyberattaques ?

Les principales cyberattaques

Il faut d’abord comprendre quelles sont ces cybermenaces.

Parmi les principales cybermenaces :

• Le Ransomware est une application qui verrouille l’accès à vos données. L’attaquant demande, pour déverrouiller l’accès, une rançon. NB : il ne faut jamais payer la rançon, car il n’y aucune assurance que l’accès aux données soient débloquées pour autant. De plus, l’entité deviendra une cible récurrente puisqu’elle paie. A savoir également : les entités possèdent désormais souvent des sauvegardes permettant de rétablir le système et donc d’éviter de payer la rançon. Donc les attaquants attaquent désormais aussi les sauvegardes, les rendant inopérantes. Donc les entités doivent protéger leurs sauvegardes et vérifier régulièrement qu’elles fonctionnent. L’attaquant peut également copier les données avant d’en bloquer l’accès. En cas de non-paiement et/ou d’un rétablissement du système à l’aide d’une sauvegarde, il pourra menacer l’entité de publier les données sur internet avec les conséquences en termes d’image, de confiance à assumer.

• Le Déni de service (DoS) est attaque informatique qui provoque le dysfonctionnement ou la paralysie complète d’un service proposé (la plupart du temps sur internet) en sollicitant le système d’information de la cible, jusqu’à saturation.

• L’hameçonnage, (phishing), est une technique par laquelle un attaquant usurpe l’identité d’un tiers légitime, par exemple une banque via un e-mail frauduleux (ou un mail covid du ministère de la santé) qui parait authentique, dans le but d’obtenir des informations sensibles.

• L’intrusion désigne un accès non autorisé au système d’information de l’entité.

• Le malware (logiciel malveillant) est un logiciel qui vise à nuire à votre ordinateur, à en prendre le contrôle, à accéder à votre réseau d’entité et/ou à voler ou détériorer vos données. Parfois il vous avertit de la présence de logiciels nuisibles sur votre terminal et vous invite, contre rémunération à contacter quelqu’un ou à télécharger des logiciels de « réparation ».

• Toute autre méthode malveillante : l’ingénierie sociale (manipulation d’une personne sur la base de renseignements la concernant en vue de l’escroquer), faux site internet, clé USB infecté, faux réseau WiFi…

Qui sont les attaquants et quelles sont leurs motivations ?

Les attaquants à l’origine de ces cyberattaques sont multiples. Parfois, ils se liguent entre eux et/ou commanditent à d’autres des attaques pour plus d’efficacité et de discrétion. On trouve :

• Les pirates informatiques isolés qui souhaitent nuire à l’entité par rancœur (suite à un licenciement par exemple) idéologie ou par motivation financière (ex : ransomware).
• Des hacktivistes qui regroupent des hackers dont la motivation est idéologique et qui cherchent à nuire à la réputation et à l’image de marque d’une entité (ex : piratage et modification de la page d’accueil d’un site par l’affichage d’un message revendicatif ou dégradant pour l’entreprise, autre ex : déni de service DoS).
• Des groupes de cybercriminels motivés par l’argent (ex : ransomware – autre ex : vol de données bancaires d’une entreprise et revente sur le darkweb – autre ex : commercialisation d’outil de piratage…)
• Les entreprises spécialisées ou des communautés de hackers mercenaires qui pratiquent l’espionnage, le sabotage, le vol de données, la déstabilisation qui peuvent s’attaquer à des personnalités, des entreprises, des organismes publics, des états.
• Des agences d’état qui mènent des actions de surveillance, d’espionnage, d’attaque.

Les attaques informatiques présentent plusieurs avantages pour les attaquants. Elles sont :

• Peu risquées,
• Discrètes (pour une attaque bien réalisée, il est souvent impossible d’identifier avec certitude l’attaquant),
• Peu couteuses,
• Très efficaces (une attaque bien menée peut paralyser ou détruire tout un SI),
• Elles peuvent être furtives (difficiles à détecter).

Conséquences des cyberattaques

Pour la victime, les conséquences potentielles sont multiples et dépendent du type d’attaque. Cela peut être :

• Du temps d’exploitation perdu si le SI est indisponible et donc l’activité de l’entité ralentie voire stoppée.
• Des coûts d’investigations et de remise en état du SI et des coûts potentiels d’actions en justice.
• La perte de confiance des clients.
• L’atteinte à la réputation et la déstabilisation de l’entreprise, d’une personne publique (homme politique, dirigeant d’entreprise…) ou d’institutions par la diffusion de documents internes sensibles, de données personnelles…
• Le vol d’informations stratégiques revendues à un concurrent, potentiellement : processus de fabrication, innovations technologiques, secrets commerciaux…
• Dans le cas d’impact sur des données personnelles, l’exposition à des sanctions de la CNIL.
• Des litiges avec vos clients pour les mêmes raisons
• Si certaines de vos données ont été détruites ou chiffrées, que vous ne pouvez les récupérer alors qu’elles sont nécessaires à votre activité, la pérennité de votre activité peut être compromise.
• L’atteinte au fonctionnement d’objets ou de SI sensibles avec parfois des impacts humains et/ou économiques. Exemples : Prise de contrôle à distance, sabotage, blocage par un pirate :
  • D’une voiture autonome en cours de trajet avec les risques d’accidents que cela comporte.
  • Des systèmes informatiques d’une entité – par exemple un hôpital, une banque… impactant voir bloquant leur fonctionnement.
  • De machines pouvant par exemple, dans le cas de services publics bloquer la distribution d’eau, d’électricité, les transports…
  • D’un système domotique donnant accès à vos serrures électroniques, vos caméras de surveillance, vos enceintes connectées, votre système d’éclairage, de régulation thermique…
• Des primes d’assurance qui peuvent augmenter.
• Des pertes financières liées à toutes les conséquences précédentes.

NB : Les entreprises utilisent ces techniques pour éliminer des concurrents, gagner des appels d’offre, étayer des procès.

Que faire face à ces cybermenaces ?

Il existe différents dispositifs à mettre en œuvre qui dépendent de la maturité de l’entité :

• Mettre en place un dispositif de défense efficace en appliquant les bonnes pratiques de sécurité du SI puis monter en maturité en particulier pour les actifs les plus risqués.
  • NB : vos ressources informatiques (cloud, infogérant) et accès externes (télétravail, prestataires externes) doivent également être protégés de façon suffisante. NB : Les prestataires d’une grande entreprise ont souvent leur SI moins bien protégés que le leur. Les pirates les ciblent donc pour accéder plus facilement au réseau de leurs clients. La mise en œuvre massive et dans l’urgence du télétravail s’est parfois faite au détriment de la sécurité. Lorsque, par exemple un collaborateur utilise son PC personnel souvent très peu protégé pour se connecter au réseau de l’entreprise.
  • Sensibiliser les collaborateurs face aux risques, leurs manifestations et les bonnes pratiques à adopter.
  • Toutefois, si ces dispositifs sont indispensables, ils ne sont pas suffisants. Ils peuvent être contournés car ils ne protègent que contre des menaces déjà connues.

• Mettre en place des dispositifs et une équipe de surveillance du SI pour détecter les attaques, les traiter efficacement. Mettre en place des dispositifs de continuité d’activité, de reconstruction du SI et de reprise de l’activité. Par exemple un SOC (Security Operations Centers).

• Coopérer à des structures d’alerte et d’assistance telles que les CERT (Computer Emergency Response Team). Elles aident les organismes qui lui sont rattachés à faire de la prévention et du traitement d’incidents de sécurité IT.

• Solliciter des entreprises spécialisées dans la prévention des fuites internes pour des clients particulièrement visés tels que les célébrités, les secteurs du luxe, de la pharmacie, de l’énergie, de la défense, du divertissement. Ces entreprises surveillent en permanence le darknet pour détecter des failles zéroday par exemple, des données et fichiers volés de leurs clients.

• Mettre en place une stratégie d’attaque.

Conclusion

Les cyberattaques se multiplient et se professionnalisent. Des états, des entreprises, des groupes d’intérêts divers les utilisent de plus en plus pour nuire, déstabiliser voire éliminer leurs adversaires.

Même dotés d’un véritable arsenal informatique, il n’existe pas de dispositif de défense infranchissable. Le contexte actuel de développement des IoT et la généralisation du télétravail génère des vulnérabilités supplémentaires. La mise en place de dispositifs de surveillance et d’intervention est donc indispensable. Une cyberattaque est facile à mettre en place, difficile à anticiper et presque impossible à contrer. Ne rien faire pour faire face, c’est condamner son activité.