Cybersécurité : les mises en garde des services secrets
Dans le cadre du mois européen de la cybersécurité, le gouvernement a organisé une master class sur les risques cyber, à l’attention des chefs d’entreprise. L’occasion, pour Patrick Guyonneau, directeur technique de la direction générale de la sécurité intérieure (DGSI), de délivrer quelques précieux conseils.
«La menace cyber elle existe, elle est bien réelle. Et souvent on la découvre trop tard, à ses dépens. » Patrick Guyonneau, le directeur technique de la direction générale de la sécurité intérieure (DGSI), s’est improvisé en maître de conférence, le 3 octobre, à Bercy. À l’initiative du ministère de l’Économie et des Finances, Patrick Guyonneau est venu sensibiliser 250 dirigeants d’administrations, d’entreprises et d’associations aux risques cyber. « Le cyberespace, c’est beaucoup de promesses, beaucoup de rêves, mais c’est aussi un certain nombre de menaces », a-t-il expliqué avant de donner quelques chiffres. « La cybercriminalité a fait 14 millions de victimes en France en 2016. 75 % des sites Internet présentent des vulnérabilités et un e-mail sur 3 000 est une tentative de phishing (NDLR : envoi d’e-mails frauduleux pour récupérer des données personnelles). »
14 millions Le nombre de victimes de la cybercriminalité en France, en 2016.
Pas de sécurité à 100 %
Pour le représentant des services de renseignements français, « la sensibilisation des dirigeants est primordiale ». « Il faut faire les investissements en lien avec la menace à laquelle chaque entreprise doit faire face. Il n’y a pas de recette miracle. La sécurité à 100 % n’existe pas. Mais cela ne veut pas dire pour autant qu’il ne faut rien faire », prévient Patrick Guyonneau. Le directeur technique de la DGSI alerte notamment les chefs d’entreprise sur le « haut degré d’ingénierie sociale [des hackers]. Les cas de fraude au président et les attaques à la e-réputation montrent combien les personnes malveillantes ont le souci de bien comprendre le business des entreprises, de bien comprendre leur environnement et de travailler les organigrammes ». Patrick Guyonneau préconise dès lors aux dirigeants d’entreprises de répondre à deux questionnaires, l’un en terme de diagnostic, l’autre en terme de projection (voir ci-contre). « Si vous avez répondu à ces questions, vous pouvez sereinement mettre en place votre plan d’action. Cela vous permet de déterminer votre surface d’attaque. Et personne ne peut mieux répondre à votre place. Personne ne pourra mieux vous protéger que vous-même », explique le haut fonctionnaire avant d’ajouter : « Vous devez définir le pourquoi, avant le comment. Sinon vous risquez de construire un système de protection onéreux, complexe, lourd, inadapté qui sera inefficace dans la durée, parce qu’au fur et à mesure, vos employés et vos collaborateurs ne comprendront pas pourquoi ils ne doivent pas connecter leur clé usb, pourquoi ils doivent sauvegarder leurs données tous les soirs, etc. »
« La construction de la police d’assurance a été difficile »
Il s’agit d’une attaque qui a marqué l’histoire de la télévision. Entre les 8 et 9 avril 2015, TV5 Monde a été victime d’une attaque cyber de grande ampleur qui a entraîné l’arrêt, pendant plusieurs heures, de la diffusion des programmes de la chaîne de télévision francophone internationale. Également invité à Bercy le 3 octobre, pour partager son expérience, Yves Bigot, le DG de TV5 Monde, est revenu sur la crise sans précédent qu’il a eu à gérer, et notamment, sur les difficultés qu’il a rencontrées pour trouver une police d’assurance. « Sur les exercices 2015 et 2016, l’attaque nous a couté 10 M€. Tout le monde m’a dit, non mais c’est pas grave puisque vous êtes assurés... Bah non... Ce n’est pas qu’on n’avait pas pensé à s’assurer. Mais les seules assurances qui existaient à l’époque dans ce domaine portaient sur la destruction de matériel physique. Il existait aussi une assurance américaine contre le vol de données. Mais nous n’avons pas eu de vol de données. L’attaque dont nous avons été victimes était purement destinée à nous détruire. Donc tout le préjudice que nous avons subi était non-assurable », a rappelé Yves Bigot. « Une partie du travail qui a été le nôtre dans les mois qui ont suivi a d’ailleurs été de construire une police d’assurance. Ça a été très difficile. On a contacté une dizaine d’assureurs de différentes nationalités et on a fini par en trouver un seul avec lequel on a réussi à bâtir une couverture adaptée », a confié le dirigeant. Selon nos informations, l’assureur en question est Axa Entreprises.
Hygiène informatique
Patrick Guyonneau engage, aussi, les dirigeants à s’informer régulièrement sur la protection de leur système d’information. « En tant que dirigeant, vous ne pouvez pas faire l’impasse de vous y intéresser. Si ce n’est pas vous, cela peut être quelqu’un dans votre comité exécutif qui peut être votre porte-voix », préconise-t-il.
Le directeur technique de la DGSI a conclu son intervention en insistant sur l’importance de mettre en place « une hygiène quotidienne dans l’entreprise. La plupart des failles de sécurité sont connues. Il s’agit souvent de mises à jour de logiciels qui ne sont pas faites. Un travail régulier de mise à niveau suffit pour se protéger d’un grand nombre d’attaques. Et tout cela ne coûte rien. La cybersécurité n’est pas qu’affaire de dépenses, c’est aussi beaucoup d’organisation. »
Les six questions à se poser avant d’établir un plan d’action
- Diagnostic des chaînes de valeur
1) Identifier les données et les systèmes qui sont au cœur du système de production et de la bonne marche de l’entreprise.
2) Identifier et savoir où se trouve le patrimoine numérique de l’entreprise : ses brevets, ses savoir-faire, ses gammes de production et ses bases de clientèle.
3) Identifier les interconnexions de l’écosystème dans lequel l’entreprise évolue. Si la société est dans une supply-chain, elle a des contacts vers l’amont et vers l’aval de la chaîne. Il faut identifier l’ensemble de ces connexions. Chaque interface du système d’information est créatrice de valeur, mais représente aussi un risque.- Projection des menaces
1) Si les hackers veulent de l’argent, qu’est-ce qu’un criminel peut vouloir voler ? Qu’est-ce qu’il peut être prêt à bloquer ?
2) En cas d’espionnage, qu’est-ce qu’un concurrent malveillant peut vouloir voler pour nuire ou dire du mal de l’entreprise ?
3) Qu’est-ce que je sais, que je connais ou que je détiens... qui peut faire des envieux ?
Base des organismes d'assurance
AbonnésRetrouvez les informations complètes, les risques couverts et les dirigeants de plus de 850 organismes d’assurance
Je consulte la baseCybersécurité : les mises en garde des services secrets
Tous les champs sont obligatoires
0Commentaire
Réagir
