[Dossier spécial Cybercriminalité ] La confiance par la certification

icone/30/left arrow long

Partagez toute l''actualité

Partagez sur Facebook Partagez sur Twitter Copier le lien
- Publié 04/01/2022 - 09:36, mis à jour à 03/02/2022 - 16:54 ExpertisesEnjeuSolutionsPerformance et Sécurité

Résumé du 1/4 : En affichant une capacité de nuisance globale chiffrable à 6 000 milliards par an, la cybercriminalité ciblant notre économie est passée dans une autre dimension depuis le début de la crise sanitaire. Impréparation des entreprises ? Vide juridique international? Manque criant de procédures pénales ? Le Sénat présente aujourd'hui un projet de cloud souverain français visant à restaurer la confiance en elles-mêmes des entreprises face à la cybercriminalité.

AODB-cybersecurite-blog-Senat-certification

 

De nombreux chiffres sont avancés dans le rapport d'information du Sénat intitulé La cybersécurité des entreprises – Prévenir et guérir : quels remèdes contre les cyber virus ? Et ces chiffres valent une douche glacée. En 2021, les entreprises cybercriminelles devraient ainsi réussir à boucler sans trop de peine(s) un bénéfice total de 6 milliards de dollars au niveau mondial. «Avant impôts ». C'est que la donne a changé. Soudain, au cours du mois de mars 2020,les attaques par phishing ont augmenté de 667%. Pourquoi cette montée en flèche de plus de 600% ? C'est avant tout un effet mécanique pervers du développement imprévisible du télétravail consécutif aux confinement.

 

Un phénomène de société inattendu : le télétravail

Les vecteurs principaux de la forte progression continue du digital en France comme dans le monde sont restés sur leur tendance haussière sur cette période. En parallèle du boom de l'IoT, la numérisation de l'économie s'est poursuivie crescendo. De même que le déploiement de la fibre. Mais aucun événement marquant n'est survenu en 2020 dans ces domaines. Seule l'explosion du télétravail peut dès lors expliquer la pointe enregistrée. Il est toujours plus délicat de gérer la sécurité dans l'urgence. Résultat : les cybercriminels se sont vu offrir des millions de voies nouvelles souvent mal, insuffisamment ou non sécurisées. La flambée record de la cybercriminalité est essentiellement due au recours massif aux objets connectés, parfois personnels, généré par les nécessités du travail à domicile et extra muros. Les questions d'interopérabilité et de sécurité des équipements n'ont manifestement pas toujours été priorisées.

Errare humanum est

Smartphones, tablettes, ordinateurs perso et autres webcams ont été et restent trop souvent des « chevaux de Troie » pour des pirates ravis de l'amateurisme des systèmes défensifs de nos entreprises. Même les plus matures parfois. En revanche, les objets connectés, eux-mêmes, sont très officiellement innocentés par le Sénat. C'est l'usage non maîtrisé qui en a été fait dans l'urgence et parfois au forcing qui est pointé du doigt ici. En matière de cybersécurité, plus d'un incident sur deux est dû au facteur humain. Chaque salarié a dans sa poche la clé de la cybersécurité de son entreprise. Or le coût annuel mondial des seules attaques liées à des mots de passe perso compromis a été estimé à 383 365 $.Un exemple parmi tant d'autres.

Effet domino fatal

Le problème sous-jacent que souligne le rapport du Sénat veut que les défauts de sécurité digitale d'une entreprise cyber-attaquée risquent de s'avérer nuisibles en cascade à toute la chaîne de ses clients partenaires et fournisseurs. C'est vrai pour les start-up comme pour les grands comptes. D'où les « remèdes contre les cyber virus » qu'annoncent les auteurs du rapport dès son titre. Le mot « remèdes » associé à « virus », invite explicitement à voir dans un virus une métaphore d'un autre virus. Après les attaques menées contre des hôpitaux et des centres de production de vaccins, le Sénat en arrive en effet à considérer la cybercriminalité comme un sujet grand public. Loin de l'image de problème technique pour DSI de multinationales qu'elle a encore bien souvent.

AODB-cybersecurite-attaque-virus

 

À malin malin et demi

Les incidences de la cybercriminalité se limitent heureusement au monde matériel. Mais cette maladie grave récente du Net est plus imaginative encore qu'une épidémie dans sa diffusion. Elle contamine à distance et disparaît en effaçant ses traces. D'où la difficulté de la poursuivre et de l'arrêter. Il en résulte l'impératif de nous montrer plus inventifs que les cybercriminels les plus créatifs. Cette lutte infinie interdit-elle d'entrée et à jamais tout rêve d'un écosystème digital sécurisé à 100% ?

Le maillon faible du système

Internet crée des liens. Dans le bon sens du mot comme dans le mauvais. Unis en un maillage mondial, tous les acteurs de l'ensemble des marchés sont pris dans un jeu de vases communicants. Les ETI, PME et TPI implantées en France auraient donc tort de se considérer plus longtemps comme des cibles négligeables pour les pirates de tous bords et de toutes nations ou religions. Elles sont en réalité le maillon faible d'une cybercriminalité désormais mondialisée et industrialisée. Tout est interconnecté. D'où le constat fait par les auteurs du rapport qu'une certification de cybersécurité nationale va s'imposer d'elle-même à tous, grands et petits.

Certification sur mesure

Deux niveaux d'accréditation sont prévus : une certification de premier niveau (CSPN) et une certification internationale dite de critères communs (CC) comptant sept degrés d'assurance d'une exigence toujours plus élevée. Une multinationale de siège français mûre en termes de cybersécurité ne pourra plus solliciter des micro-structures locales pourtant de talent qui n'auraient pas sollicité préalablement une certification du CESTI (Centre d'évaluation de la sécurité des technologies de l'information). Les petites structures croient souvent bénéficier à vie d'une impunité structurelle de proies trop insignifiantes pour les cybercriminels. Elles facilitent ainsi elles-mêmes des méfaits qui leur coûtent en réalité 2,2 M€ par an.

Des chiffres qui méritent zéro ?

L'étude des rapporteurs du Sénat sur la vulnérabilité de nos ETI, PME et TPE fournit sur ce point des chiffres sans appel :

  • 54% des petites entreprises se pensent encore à ce jour structurellement à l'abri
  • 14 % jugent leurs moyens de défense très efficaces
  • 47% n'ont aucune idée des parades à déployer en cas d'attaque
  • 50% des petites et moyennes entreprises ont pourtant subi au moins une attaque dans l'année
  • 22 % seulement procèdent au chiffrage de leurs bases de données
  • 44 % ne s'inquiètent pas des risques auxquels elles exposent les données confiées par leur clients.
  • 53 % n'ont provisionné aucune somme dédiée et mise de côté en cas d'attaque
  • 65 % n'ont pris zéro mesure de sécurité à la suite d'une attaque

En décodé : nombre de petites entreprises françaises vivent encore un peu comme dans les années 2010. Mais les choses changeront d'elles-mêmes lorsque leurs clients ne pourront plus accepter le risque de recevoir un Pdf vérolé ou un lien vers une plateforme de téléchargement gratuite, sympa, design mais ne donnant aucune garantie de fiabilité. Le processus est enclenché.

 

Vous souhaitez en savoir plus ?
Rencontrons-nous

  • Sécurité
+ 200 Experts
7 Agences & Bureaux en France
+30 000Jour/Homme par an
Contributeur Et conférencier en Europe
+3000 Projets

Participez à nos workshops et events

Maîtriser votre chaîne Devops : enjeux et gains associés
  • 27 décembre 2022
    09:30 - 10:00
Webinar
Publier et traduire via un Content Hub les contenus de tous vos sites Drupal
  • 27 décembre 2022
    09:30 - 10:00
Webinar

Nous contribuons aux évolutions et aux conférences technologiques en Europe

  • Image
    drupal camp
  • Image
    Paris Open Source Summit
  • Image
    IT Security & Meetings
  • Image
    DrupalCon