La dernière cyber attaque a été déclarée « sans précédent » par l’Office européen de police Europol (dans un communiqué du 13 Mai). L’ampleur de ses dégâts montre que les utilisateurs d’internet n’ont pas encore adopté une culture de la cyber sécurité, et que les entreprises peinent encore à se protéger. Un utilisateur qui ne comprend pas comment fonctionne une cyber attaque met en danger ses informations personnelles, mais aussi celles de son (ou sa future) entreprise.
Comment fonctionne une cyber attaque ?
Tous les logiciels et systèmes d’exploitation comportent des failles qui ne sont pas toujours réparées à temps par les éditeurs, et de nombreuses entreprises ne mettent pas à jour suffisamment régulièrement leurs systèmes et logiciels, c’est-à-dire qu’elles n’intègrent pas ces réparations au fur et à mesure. Les hackers le savent, donc la probabilité d’attaques visant ces failles informatiques est de 100%. Cela fait des années que les équipes informatiques connaissent ces risques, leurs modus operandi et leur extrême rapidité de propagation. Mais celles qui les ont frappées ces derniers jours – car il ne s’agit pas d’une mais de deux attaques successives – étaient d’un genre nouveau. Elles font partie de la famille des «ransomware » (rançongiciel), utilisant la technique du phising, qui consiste à usurper une identité via l’envoi d’emails frauduleux, et de dérober des informations personnelles ou de l’argent. Et contrairement aux techniques de phishing classique, il n’était cette fois pas nécessaire d’ouvrir une pièce jointe à un email ou de cliquer sur un lien infecté pour laisser entrer le virus, mais uniquement d’ouvrir sa boite email. Les virus Wannacry le 12 mai, puis Adylkuzz le 17 mai, se sont donc répandus sur ce modèle de contamination, causant ainsi les nombreux vols de données et arrêts d’opérations qui ont été massivement reportés dans les médias ces derniers jours.
Les utilisateurs doivent adopter une culture de la cyber sécurité
Pour Nicolas Arpagian, rédacteur en chef de la revue Prospective Stratégique, ces attaques ne peuvent être évitées donc les utilisateurs, citoyens et salariés, doivent désormais adopter une culture de la résilience. Tout comme la culture du secourisme s’est développée depuis les attaques terroristes, celle de la cyber sécurité doit aussi être déployée. Puisque chaque utilisateur fait partie du réseau de l’économie numérique, il a une responsabilité numérique, et ne doit plus se comporter en consommateur passif de la société de l’information. Interviewé dans L’invité des Matins de France Culture le 16 Mai, il alarme : « ce sont des utilisateurs quotidiens d’internet mais ils sont en ignorance totale de cet outil auquel ils confient leurs données personnelles, leur vie, et une partie du modèle économique de leur employeur ». Car consulter ses emails professionnels depuis un smartphone personnel c’est aussi, lorsque l’on est salarié, mettre en danger le réseau informatique de son entreprise. « Cette inculture est regrettable, les gens doivent être mieux informés ». C’est ce qu’il fait dans son dernier livre « La cybersécurité » publié aux éditions PUF 2015. Pour Olivier Macaigne, fondateur de la start up de solutions informatiques pour les PME Cloudsmart, les meilleures pratiques à appliquer relèvent du bon sens : « on protège sa maison avec des alarmes, on les met régulièrement à jour, on « sauvegarde » ses objets de valeur et une copie de ses documents importants dans un coffre-fort sécurisé, on n’ouvre pas en grand ses portes et fenêtres lorsque l’on est absent, en informatique c’est pareil !».
Les entreprises doivent prendre conscience des risques et planifier sur le long terme
Selon la dernière étude Euler Hermes-DFCG, huit entreprises sur 10 ont subi au moins une tentative de fraude en 2016, et 22 % des entreprises françaises ont été victimes de rançongiciels. Leur objectif étant de gagner de l’argent, les entreprises sont leurs premières cibles. Mais les PME manquent d’expertise informatique et de budgets dédiés, car leurs dirigeants ne réalisent pas le poids de la valeur de leurs données, et ne mesurent pas l’ampleur des risques que représentent une cyber attaque. La culture de la sécurité n’y progresse alors seulement qu’à l’occasion d’une confrontation douloureuse ou coûteuse avec une attaque. Les PME sont d’ailleurs de plus en plus dans le viseur des hackers parce qu’elles sont vulnérables, et qu’elles représentent un point d’entrée facile pour attaquer les grands groupes, c’est à dire leurs clients.
Mettre à jour les systèmes d’exploitation et applications logicielles est un des piliers de la lutte contre les cyber attaques. Mais dans les grandes entreprises elles ne peuvent être réalisées aussi fréquemment que sur un ordinateur personnel, car elles comptent de nombreux logiciels critiques dont le fonctionnement ne peut être interrompu ou endommagé. Ces mises à jour nécessitent donc une préparation du département informatique, longue et consommatrice de ressources, et se déroulent en général une à deux fois par an. C’est-à-dire que certaines failles peuvent perdurer jusqu’à 11 mois dans un système sans être corrigé. Par ailleurs, le rythme de performance des grandes entreprises aujourd’hui étant au trimestre, il est difficile d’y déployer des politiques de sécurité qui nécessitent des investissements et qui ne sont profitables qu’à long terme. La sécurité en entreprise est donc encore trop vue comme un centre de coûts et non comme un centre de profits.
Comme évoqué dans ma tribune « La cyber guerre n’est plus une fiction » parue dans Le Cercle Les Echos le 13 mars, il est encore extrêmement difficile de combattre dans le cyber espace, il est donc urgent de pouvoir être en mesure de se protéger des attaques. Et pour Nitzan Nuriel, ancien directeur du bureau de l’antiterrorisme israélien interviewé le 18 mai par L’Obs, les gouvernements ont un rôle important à jouer sur le sujet de la sécurité et devraient encourager les entreprises à investir, car « des solutions existent, c’est une question de décision et bien sûr d’investissement ».