Les cybermenaces : tous concernés… tous protégés ?

Désormais, les pirates s’attaquent aussi bien à une entreprise cotée pour tenter d’en perturber le service ou d’en dérober les secrets/brevets, qu’à des laboratoires médicaux hébergeant des données sensibles.

La cyber-sécurité devient aujourd’hui un facteur de risque croissant pour l’entreprise. Les piratages informatiques (vols de données personnelles ou bancaires, phishing, ransomware…) sont de plus en plus nombreux et violents. Récemment, Vodafone, Uber ou Talk Talk en ont fait les frais. Désormais, les pirates s’attaquent aussi bien à une entreprise cotée pour tenter d’en perturber le service ou d’en dérober les secrets/brevets, qu’à des laboratoires médicaux hébergeant des données sensibles.

Le Premier Ministre Manuel Valls a annoncé de nouvelles mesures le 16 Octobre dernier lors de la « Présentation de la stratégie nationale de cyber sécurité » en s’appuyant sur les propositions et recommandations de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

La cyber-sécurité est déjà régie par un corpus réglementaire qui devrait sensiblement être renforcé dans les mois à venir. Ainsi, des arrêtés sectoriels devraient fixer les règles, dès cet automne, que les entreprises devront mettre en œuvre pour améliorer leur niveau de défense face aux menaces. Depuis la Loi de Programmation Militaire de décembre 2013, un ensemble de dispositions relatives à la protection des infrastructures vitales contre la cyber-menace a été entériné et impose aux OIV (Opérateurs d'Importance Vitale) des mesures de gestion au quotidien de la sécurité, que cela soit en termes de contrôles, d’informations en cas d’incidents ou d’actions à déclencher en urgence.

Au-delà des OIV, c’est l’ensemble des entreprises et des individus qui sont, à ce jour, des cibles de cyberattaques. Aux Etats-Unis, les « SECURITY BREACH NOTIFICATION LAWS » imposent aux entreprises une information vis-à-vis des consommateurs/utilisateurs en cas de divulgation d’informations sensibles. Ces lois sont en vigueur dans plus de 45 états à ce jour.

Cette législation se décline aujourd’hui en France, et dans d’autres pays Européens, pour un certain nombre d’acteurs (OIV, opérateurs télécoms) ou au travers de règlements européens, par exemple sur l’identification électronique et les services de confiance (eIDAS) ou encore la directive NIS (Network and Information Security) prévoyant des obligations en matière de déclaration d’incidents de sécurité pour les acteurs du numérique. Le projet de règlement européen sur la protection des données personnelles, actuellement en discussion, prévoit une obligation de notification des failles de sécurité portant atteinte à la vie privée aux autorités de régulation et aux personnes dont les données ont été compromises.

Ces informations personnelles ont une valeur sur le marché et les pirates savent très bien les monnayer. A titre d’illustration, des experts s’entendent sur une valeur de 50$ pour une information personnelle médicale. Le « darknet », réseau privé souvent utilisé dans des cercles illégaux, regorge de pirates prêts à revendre leurs services et les données dérobées (entre 1$ et 60$ pour des données valides de cartes bancaires par exemple).

Dans le secteur des médias, les entreprises sont de plus en plus attentives à la sécurité de leurs systèmes d’information. Il est désormais usuel chez les majors de diligenter des audits de sécurité vis-à-vis de partenaires ou de diffuseurs, afin de s’assurer que les copies ou fichiers contenant des épisodes de séries à succès soient véhiculés et transmis de la manière la plus sécurisée possible. Ces audits peuvent amener les diffuseurs, les sociétés de traduction, etc. à revoir une partie de leur organisation et processus de sécurité de l’information. En effet, la diffusion illégale d’un épisode piraté d’une série star aurait un impact immédiat sur le nombre téléspectateurs, qui pour la plupart pourrait accéder au contenu directement sur Internet quelques heures ou jours avant la diffusion officielle sur les médias traditionnels. D’autres se soucient de la sécurité de leurs espaces collaboratifs (pages d’information, Twitter par exemple) qui pourraient, s’ils étaient détournés par des pirates, annoncer le décès d’un Chef d’Etat, par exemple, et conduire ainsi à un « séisme » économique.

D’autres acteurs des médias, par exemple dans les jeux en ligne, sont soumis dans certains pays à des réglementations fortes. L’ARJEL contraint les opérateurs de jeux en ligne à prendre en compte les risques de sécurité en disposant d’infrastructures informatiques robustes.

De nombreuses entreprises répondent au risque de cyber-sécurité par des campagnes d’information ou de sensibilisation de leurs équipes ou par la mise en place d’une gouvernance de sécurité (charte informatique, politique de sécurité des systèmes d’information…). Cependant, les attaques se multiplient et les conséquences sont de plus en plus importantes, démontrant que les intentions ne suffisent pas. Il est admis aujourd’hui que des attaques ont été, ou pourraient être menées, sur des acteurs du monde de l’énergie ou des transports par exemple, comme cela avait été le cas avec le virus informatique « Stuxnet » qui aurait eu des incidences sur des systèmes industriels.

Comme pour tout type de risque, la diminution des impacts de cyber-sécurité nécessite des investissements, tant au niveau technique qu’organisationnel, comprenant par exemple :

- La mise en place ou la contractualisation de services de détection ou de réaction aux incidents,
- L’intégration de la sécurité dans l’ensemble des projets d’entreprise,
- La sécurité dans les nouveaux médias ou services (smartphone, objet connecté, etc.),
- Le pilotage et la mesure de la sécurité (indicateurs, efficience),
- L’audit régulier et systématique – par des tests d’intrusion ou des évaluations de sécurité – des systèmes d’information et des nouveaux services,
- Le renforcement de la sensibilisation/formation/information.

D’un point de vue juridique, des mesures de précaution sont à prendre vis-à-vis des prestataires techniques, en termes de :

- Confidentialité des données stockées,
- Localisation des données stockées,
- Sécurité des serveurs,
- Réversibilité,
- Externalisation vers des services de cloud etc.

Les contrats portant sur des infrastructures informatiques doivent donc être observés à la loupe car lutter contre les cybermenaces nécessite la combinaison d’une solide protection technique et juridique.

En collaboration avec David LUPONIS, MAZARS, www.mazars.fr