Cybersécurité : les secrets de la DGSI pour une bonne protection

Cybersécurité : les secrets de la DGSI pour une bonne protection
La sécurité à 100 % n’existe pas. Mais cela ne veut pas dire pour autant qu’il ne faut rien faire », prévient Patrick Guyonneau, le directeur technique de la DGSI

Invité à Bercy pour sensibiliser les dirigeants d’administrations et d’entreprises aux risques cyber, Patrick Guyonneau, le directeur technique des renseignements intérieur français, a égrené ses recettes pour se prémunir contre une menace « peu visible » mais « bien réelle ».

« La menace cyber elle existe, elle est bien réelle. Et souvent on la découvre trop tard, à ses dépens. » Patrick Guyonneau, le directeur technique de la Diréction générale de la sécurité intérieure (DGSI), s’est improvisé en maître de conférence, ce mardi 3 octobre. 250 dirigeants d’administrations, d’entreprises et d’associations de consommateurs ont été conviés à Bercy à l’initiative des ministères économiques et financiers dans le cadre d’une campagne de sensibilisation aux risques cyber chapeautée par l’agence européenne de sécurité informatique (ENISA). « Le cyber-espace, c’est beaucoup de promesses, beaucoup de rêves, mais c’est aussi un certain nombre de menaces », a commencé Patrick Guyonneau avant de de donner quelques chiffres. « La cyber criminalité a fait 14 millions de victimes en France en 2016. 75 % des sites Internet présentent des vulnérabilités et un email sur 3000 est une tentative de phishing. »

Des hackers doués d’un haut degré d’ingénierie sociale

Pour le représentant des renseignements français, « la sensibilisation des dirigeants est primordiale ». « Il faut faire les investissements en lien avec la menace à laquelle chaque entreprise doit faire face. Il n’y a pas de recette miracle. La sécurité à 100 % n’existe pas. Mais cela ne veut pas dire pour autant qu’il ne faut rien faire », prévient Patrick Guyonneau. Le directeur technique de la DGSI alerte notamment les chefs d’entreprise sur le « haut degré d’ingénierie sociale » des hackers. « Les cas de fraude au président et les attaques à la e-réputation montrent combien les personnes malveillantes ont le souci de bien comprendre le business des entreprises, de bien comprendre leur environnement et de travailler les organigrammes. »

Patrick Guyonneau préconise dès lors aux dirigeants d’entreprises de répondre à deux questionnaires, l’un en terme de diagnostic, l’autre en terme de projection.

Les six questions à se poser avant d'établir un plan d'action
Diagnostic des chaînes de valeur

1) Identifier les données et les systèmes qui sont au cœur de votre système de production, au cœur de la bonne marche de votre entreprise.
2) Identifier et savoir où se trouve le patrimoine numérique de votre entreprise. Tout ce qui est au cœur de votre activité économique : vos brevets, vos savoir-faire, vos gammes de production et vos bases de clientèle.
3) Identifier les interconnexions de l’écosystème dans lequel vous évoluez. Vous êtes dans une supply-chain. Vous avez des contacts vers l’amont et ver l’aval de la chaine et vous devez avoir identifié l’ensemble de ces connexions. Chaque interface de votre système d’information est créatrice de valeur mais c’est aussi un risque.
Projection des menaces
1) Si les hackers veulent de l’argent, qu’est-ce qu’un criminel peut vouloir voler. Qu’est-ce qu’il peut être prêt à bloquer.
2) En cas d’espionnage, qu’est-ce qu’un concurrent malveillant peut vouloir me voler pour me nuire ou dire du mal de moi.
3) Qu’est-ce que je sais, que je connais ou que je détiens, et qui peut faire des envieux.

« Si vous avez répondu à ces questions vous pouvez sereinement mettre en place votre plan d’action. Cela vous permet de déterminer votre surface d’attaque. Et personne ne peut mieux répondre à votre place. Personne ne pourra mieux vous protéger que vous-même », explique le directeur technique de la DGSI avant d’ajouter : « Vous devez définir le pourquoi avant le comment. Sinon vous risquez de construire un système de protection onéreux, complexe, lourd, inadapté qui sera inefficace dans la durée, parce qu’au fur-et-à-mesure, vos employés et vos collaborateurs ne comprendront pas pourquoi ils ne doivent pas connecter leur clé usb, pourquoi ils doivent sauvegarder leurs données tous les soirs, etc. »

L’hygiène quotidienne

Patrick Guyonneau appelle également les dirigeants à s’informer régulièrement sur la protection de leur système d’information. « En tant que dirigeant, vous ne pouvez pas faire l’impasse de vous y intéresser. Si ce n’est pas  vous, cela peut être quelqu’un dans votre comité exécutif qui peut être votre porte-voix », préconise-t-il. Le directeur de la DGSI a conclu son intervention en insistant sur l’importance de mettre en place « une hygiène quotidienne dans l’entreprise ». « La plupart des failles de sécurité sont connues. Il s’agit souvent de mises à jour de logiciels qui ne sont pas faites. Un travail régulier de mise à niveau suffit pour se protéger d’un grand nombre d’attaques. Et tout cela ne coûte rien. La cybersécurité n’est pas qu’affaire de dépenses, c’est aussi beaucoup d’organisation. »

Testez L'Argus de l'assurance en mode abonné. Gratuit et sans engagement pendant 15 jours.

Le Magazine

ÉDITION DU 06 décembre 2019

ÉDITION DU 06 décembre 2019 Je consulte

Emploi

APREF

ADJOINT DU DÉLÉGUÉ GÉNÉRAL H/F

Postuler

Mission Handicap Assurance

Mission Handicap Assurance

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Contrat de prévoyance.

Bourg Habitat OPHLM de Bourg en Bresse

06 décembre

01 - BOURG HABITAT

Marché de services d'assurances des risques statutaires.

Centre hospitalier de Blois

06 décembre

41 - BLOIS

Proposé par   Marchés Online

Commentaires

Cybersécurité : les secrets de la DGSI pour une bonne protection

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié