La France, victime d’une cybercriminalité active

Hacking, phishing, ransomware… les entreprises sont confrontées à des cyberattaques de plus en plus sophistiquées. A échelle mondiale, les failles de sécurité ont causé la perte ou le vol de 429 millions d'informations à caractère personnel en 2015, et les chiffres ne cessent de croître.

Selon le rapport de Symantec  publié le 21 avril 2016, la France fait partie des dix pays où la cybercriminalité est la plus active et occuperait la neuvième place après  la Chine, les États-Unis et l'Inde. Des chiffres alarmants qui ne reflètent pourtant pas la réalité du phénomène, puisqu’une grande partie des entreprises préfèrent ne pas communiquer sur les failles constatées et les attaques qu’elles subissent.

Un triste record touchant les petites et moyennes entreprises comme les grandes telles que Boulanger, Yahoo ou plus récemment Cdiscount, qui a reçu un avertissement et une mise en demeure en octobre 2016 de la CommissionNationale de l’Informatique et des Libertés (CNIL). Quant à Yahoo, l’entreprise a reconnu en septembre dernier dans un communiqué qu’une partie des informations de 500 millions de comptes de ses utilisateurs avaient bien été piratées en 2014.

Une République numérique : un renforcement de la protection des données à caractère personnel

Une nouvelle réglementation européenne sur la protection des données entrera en vigueur à partir du 25 mai 2018. Elle vise à créer un ensemble de règles adaptées à l'ère numérique à destination des entreprises dans le but de sécuriser la collecte, le traitement et l’archivage de données à caractère personnel. L’article 34 de la loi « Informatique et Libertés » stipule que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

La CNIL qui est un organisme indépendant accompagne les professionnels dans leur mise en conformité afin d’améliorer la confidentialité et la protection des données personnels des citoyens européens. Si l’entreprise ne respecte pas la loi, la CNIL  sera en mesure de sanctionner juridiquement et financièrement  les entreprises à hauteur de 4% de leur chiffre d’affaires global.

Un enjeu pénal et des conséquences juridiques qui alertent et poussent les entreprises à se mettre en conformité avec cette nouvelle réglementation et à s’intégrer dans un processus de transparence vis-à-vis de leur client. Cette loi amène de nouvelles opportunités pour elles.

L’obtention d’un label de la CNIL, certifiant que les professionnels sont conformes aux dispositions de la loi "Informatique et libertés" permet d’améliorer la confiance des utilisateurs sur la gestion de leurs données à caractère personnel, et devient un réel avantage concurrentiel.

Les experts du pôle Médias et Information de Mazars recommandent de suivre cinq processus clés permettant de prévenir le risque de cyberattaque :

  • La prise en compte du cyber-risque par le management,
  • La formation du personnel via une sensibilisation constante des collaborateurs,
  • Le test régulier des installations et des procédures existantes,
  • La réaction aux incidents : établir un plan de gestion de crise,
  • La sécurisation du risque de défaillance des partenaires.

Les objets connectés : la cible numéro 1 de la cybercriminalité

« Les objetsconnectés sont la menace numéro un », selon Éric Filiol, Membre de l’École supérieure d’informatique, électronique, automatique (ESIEA).

Proliférations des demandes de rançons (ransomware), sophistication des attaques par e-mail, détournement des objets connectés… Les hackers, sont de plus en plus innovants et perfectionnés.

Identifiés comme maillons faibles, les smartphones, tablettes et objets connectés sont mal sécurisés et pourtant massivement utilisés par les particuliers, les entreprises, les clients, les employés, etc…

Selon le site Cyberprotect, « on estime à 80% le nombre d’objets connectés présentant des failles de sécurité, soit 4 milliards d’appareils ». Une menace  forte qui ouvre de nouvelles brèches potentielles aux hackers.

Tout nouvel objet connecté devient donc une menace supplémentaire car ils sont directement reliés au Cloud qui permet d’archiver les données. Avec  l’importance croissante du nombre de données à caractère personnel archivés sur le Cloud, cet espace est devenu une cible prioritaire pour les cyber attaques.

Conclusion

Selon ParisTechReview, 80% des responsables informatiques avouent ne pas pouvoir faire face à la sophistication de plus en plus grande dont font preuve les pirates. Ce chiffre témoigne bien de la vulnérabilité croissante des entreprises et du manque de moyens face à l’aggravation du phénomène qui menace l’économie mondiale. Les entreprises doivent aujourd’hui prendre conscience qu’elles font face à un risque majeur et adapter leur stratégie à cette mutation numérique.

Mais ont-elles en mains toutes les cartes ? Malgré les revendications multiples de mouvements politiques alternatifs, de lanceurs d’alertes ou autres Anonymous, le Hacking International  tend de plus à devenir l’affaire de quelques états. Dotées de moyens illimités, les états mettent au point les prémices d’une guerre technologique planétaire. L’espionnage économique classique a lui aussi changé et s’accentue vers une dimension politique.