Institutions, collectivités, entreprises… La France compte parmi les dix pays du monde les plus touchés par les cyberattaques informatiques. Pour inévitables qu’elles soient, ces « invasions » peuvent être anticipées, leurs conséquences minorées. Explications d’Eric Filiol, directeur de recherches, expert senior en cybersécurité.
Des objectifs visés
Littéralement, une cyberattaque se définit comme « une atteinte à des systèmes informatiques réalisée dans un but malveillant », un acte de piratage visant à créer des brèches dans le système de sécurité d’une entreprise, d’une mairie, d’un centre hospitalier (…), pourquoi pas d’un particulier, et à récupérer un maximum de données propres à ces victimes.
Dans le cœur de cible des pirates, différents dispositifs : des ordinateurs et des serveurs, reliés ou non à Internet, mais aussi des équipements périphériques tels que des imprimantes, ou encore des tablettes, smartphones, téléphones mobiles et autres appareils communicants.
Des cibles patentées
Dans un monde régi par l’économie et l’argent, les forces vives des pays les plus riches, comme la France, sont des proies toutes désignées pour les hackers de ce monde. Et les entreprises, quelle que soit leur taille, des victimes patentées.
Les desseins de ces cyberattaques n’ont pas tous le même poids sur l’échelle des valeurs. Usurpation d’identité, préjudice commercial, espionnage de grande ampleur, cybercriminalité, sabotage, atteinte à l’image et/ou à la réputation individuelle, exposition à un chantage et/ou à une demande rançon (le « ransomware »)…, tous les… abus sont dans la nature !
Des attaques « professionnalisées »
Les hackers autoentrepreneurs (on rigole !), on voulait dire isolés, francstireurs, ne sont plus souverains en leur royaume. Ces dernières années, l’arnaque s’est professionnalisée. Cent cinquante à deux cents plateformes « collaboratives », notamment passées maîtres dans l’art du « ransomware » organisé, ont ainsi été identifiées à travers le monde.
Des entreprises mal informées
Les entreprises n’ont souvent pas idée des raisons pour lesquelles elles sont ou pourraient être attaquées. Une explication à ce phénomène : elles sont très très nombreuses à ne pas connaître leurs propres infrastructures informatiques, leurs systèmes de sécurité, leurs métiers, leurs process… Beaucoup, même, n’ont pas de sauvegarde. Le dirigeant s’inscrit trop rarement dans une posture de sécurité et c’est préjudiciable. Seul un plan de gouvernance adapté, plaçant le patron au cœur du système de sécurité et du pilotage, peut minimiser l’impact d’une cyberattaque et permettre à l’entreprise de lui survivre, de faire « acte de résilience »…
Des solutions trouvées ?
Evacuons toute idée reçue : aucune cyberattaque ne peut être évitée. Des solutions existent pourtant qui permettent de l’anticiper et, comme on l’a dit, d’en minimiser l’incidence. Dans l’ordre des priorités, il est impératif de classer, selon le risque encouru, les scénarii d’attaques possibles et de lister les mesures indispensables à l’« amortissement » de leurs effets.
Pour aboutir à un vrai « plan de résilience », s’impose la rédaction préalable d’un plan de gouvernance, puis celle de plans de continuité de l’activité et de gestion de crise. C’est beaucoup de travail préparatoire, mais une fois cadrée, cette organisation est un pare-feu efficace.
« Il n’y a pas d’attaquants forts, mais des victimes faibles. »
Eric Filiol