L'urgence vitale de protéger les données personnelles des citoyens

La recrudescence de cyberattaques contre les organismes sociaux et de santé en particulier, qui sévissent en France dernièrement, soulève la question de la gestion et de la sécurité des données.

S’il n’est plus nécessaire de rappeler que les organisations doivent parer à toute éventualité d’attaque, il devient urgent d’adresser de manière plus offensive la protection de la quantité croissante et continue des données personnelles qui prolifèrent en ligne.

Ces dernières années ont vu une explosion des pratiques en ligne des individus. Si la transformation digitale, en marche depuis plusieurs années, joue un rôle dans ces changements, nul ne peut ignorer que le COVID-19 a fortement accéléré ce basculement, tant au sein des entreprises, qu’aux niveaux individuels. Ainsi, des commerces physiques se sont étendus à la sphère digitale, de nouveaux services sont apparus, avec face à eux de nouvelles pratiques de consommation combinés à une exigence accrue d’instantanéité de service.

Tout cela a conduit à une présence en ligne plus importante comme en témoignent les résultats du dernier baromètre sur la présence des Français en ligne 2023, publié par Médiamétrie, qui fait état de 47,4 millions de Français connectés quotidiennement, soit 1,8 millions de plus qu’en 2022. Il ressort également que 2 français sur 3 se connectent quotidiennement sur les réseaux sociaux et messageries. Si l’on ajoute à cela les quelques 5 millions d’utilisateurs mensuels d’outils d’IA générative, de plus en plus grand public, le « terrain de jeux » des cybercriminels et les possibilités qui y sont associés ne cessent de s’étendre. 

Démultiplication des identités

Le Larousse définit l’identité par le « caractère de deux êtres ou choses qui ne sont que deux aspects divers d'une réalité unique, qui ne constituent qu'un seul et même être » ou encore « ensemble des données de fait et de droit qui permettent d'individualiser quelqu'un (date et lieu de naissance, nom, prénom, filiation, etc.) ». La transformation digitale a conduit à l’émergence d’identités dites « numériques », offrant plusieurs identités à chaque individu du fait de la multiplication de ses comptes de réseaux sociaux, emails et comptes de fidélité.

Considérées comme des portes d’entrée vers les données, ces identités sont depuis plusieurs années une priorité pour la sécurité des organisations. Devenues vecteur d’attaque de premier choix pour les cybercriminels, l’augmentation des identités en ligne a étendu les opportunités d’attaques.

En effet, qui dit comptes multiples, induit de facto une multitude de mots de passe, idéalement complexes, à créer et à mémoriser, combinée à des systèmes de double authentification, proposés par défaut par de nombreux services. Or, l’exercice devient fastidieux et bon nombre d’individus se limitent à des mots de passe très simples de type « 12345 », « admin » ou encore « password », pour ne citer que quelques exemples du dernier baromètre annuel de Nordpass pour 2023. L’un des principaux constats en observant ces résultats est qu’au fil des ans, les mots de passe ne changent pas, malgré le martèlement des campagnes de sensibilisation. C’est pourquoi, disposer d’outils de gestion de mots de passe contribuerait à réduire ces risques et ces vulnérabilités ; cela est d’autant plus critique à l’heure des outils hybrides en entreprises.

Risque d’effet de cascade

Le paysage actuel des menaces se caractérise ainsi par de nouvelles identités, de nouveaux environnements et de nouvelles méthodes d'attaque. La prolifération des identités, combinée à la migration vers le cloud et à l'accélération de l'innovation des attaquants, alimente la montée en puissance des cyberattaques basées sur l'identité. En témoigne, la dernière attaque perpétrée contre deux prestataires de santé et affectant plus de 33 millions de français – soit près d’un français sur deux en moyenne. Ce que ces attaques ont de particulier réside dans la nature des données qui ont été dérobées : numéros de sécurité sociale, état civil, dates de naissance, soient des informations très personnelles et non « remplaçable ». Par exemple, si une carte de crédit est dérobée et utilisée à l’insu de son propriétaire, ce dernier n’aura qu’à faire opposition et la changer. Or, la donnée personnelle est comme une empreinte digitale, toujours avec son propriétaire et immuable. Ces données peuvent être considérées, au sens littéral, d’importance vitale et doivent donc être protégées. De plus, il ne fait aucun doute que ces attaques ne font que commencer ; les cybercriminels ayant conscience de la lucrativité des identités sur le Dark Web ou pour commettre des méfaits plus graves.

En effet, les informations volées conduiront de manière quasi certaine à de nouvelles attaques telles que des arnaques via emails ou SMS. Nous sommes témoins d’une nouvelle phase comme l’ont démontré les attaques de phishing qui ont visé la plateforme Teams ou encore les attaques de Deepfakes visant des dirigeants d’entreprises pour effectuer des virements bancaires frauduleux ou des faux profils LinkedIn pour infiltrer des entreprises et leurs voler des données entre fin 2022 et début 2023.  Les attaques, portées par les innovations technologiques sont plus sophistiquées, plus précises, plus massives et vulnérabilisent leurs cibles par la peur en visant ce qu’il leur est le plus personnel : des données de santé. Cette nouvelle approche des attaques de masse permet de semer la confusion et de profiter de la panique pour dérober encore plus données.

Genèse de la gestion des services de santé en ligne en France

Actif très préservé en France, les informations de santé font l’objet de nombreux débats depuis plusieurs années. Mais la digitalisation a ouvert de nouvelles portes, accélérées par la pandémie de Covid-19 en 2020 et l’entrée en confinement de milliards de personnes à travers le monde. Cette période a vu l’explosion de plateformes de prises de rendez-vous en ligne ou de consultations en visioconférence avec des praticiens, indépendamment de l’emplacement géographique des deux parties. Cela a également accéléré la mise en place du dossier médical partagé (DMP) et de l’espace numérique de santé (ENS) par le gouvernement ; d’ailleurs, selon le code de la santé publique (article L1111-13-1), l’ENS est ouvert automatiquement pour tous, sauf opposition tacite de la part du patient. Or, il y a fort à parier que bon nombre de patients n’en aient pas conscience. Cette centralisation de données aussi personnelles que sensibles constitue par conséquent une cible de premier choix pour des cybercriminels, lesquels sont aujourd’hui aussi équipés d’outils basés sur l’intelligence artificielle et le machine learning pour les aider à mener leurs attaques à bien.

Bien que ces outils soient conçus en intégrant des normes de sécurité par défaut, afin d’offrir une protection renforcée aux patients, la recette miracle contre les cybermenaces n’existe pas, et aucun outil au monde n’est, pour l’heure, complètement irréprochable. Cependant, les attaques peuvent être évitées par une combinaison d’outils, de bonnes pratiques et une collaboration active entre les employés et les équipes de sécurité. Du côté des entreprises, la seule façon de s'assurer que les bonnes personnes ou machines accèdent aux bonnes ressources, au bon moment est d'appliquer des contrôles d'autorisation appropriés à chaque identité. Du côté des utilisateurs et employés, les identités en ligne doivent devenir pour leurs détenteurs aussi importants à sécuriser que l’identité « nationale » et les biens qu’ils possèdent. Une fois cette évidence acquise les réflexes de sécurité et la méfiance envers des sources non connues, deviendront naturels. Toutefois, si cela est un vœu pieu depuis plusieurs années, ce changement de pratiques, ne peut se faire seul. Un accompagnement est nécessaire renforcée par une absence totale et permanente de confiance.

Les questions de cybersécurité sont vastes et évoluent avec les pratiques et les innovations technologiques. Le message de fond reste le même mais l’urgence se renforce après chaque nouvelle attaque. Si l’IA a su séduire bon nombre de professionnels, il n’est pas étonnant que les cybercriminels aient également saisi l’opportunité, ce qui oblige les entreprises à constamment chercher à garder une longueur d’avance contre l’adversaire. C’est pourquoi il devient vital de vérifier que le message délivré l'a été par la personne ou l'organisation que nous pensons. L'être humain aura toujours des faiblesses et il est important de mettre en place des contrôles automatisés pour les vérifier, ces contrôles étant directement liés à la protection des identités de chacun.