Le nombre de cyberattaques progresse régulièrement, avec des méthodes toujours plus élaborées. Comment s’en prémunir ?
Ce n’est pas une chose facile que de se prémunir contre les cyberattaques modernes.
D’abord, parce que trop souvent dans les entreprises, on considère que c’est le rôle du responsable des systèmes de sécurité informatiques et qu’en tant que simple utilisateur, on n’a pas à s’en soucier. Or on sait que l’humain est précisément le maillon faible de tout système de sécurité. À une méconnaissance, pour ne pas dire une réticence naturelle vis-à-vis d’une l’informatique toujours plus présente et complexe, s’ajoute parfois l’impression qu’on ne possède pas, à son niveau d’exécutant, ni du niveau de compétence pour se protéger, ni d’informations suffisamment sensibles pour mettre en péril son organisation.
Mais les cyber-délinquants utilisent rarement « la grande porte » pour pénétrer les systèmes et c’est souvent par l’accumulation de données fragmentaires et non critiques qu’ils élaborent leurs stratégies.
N’oublions pas que le cheval de Troie a été construit à partir de simples morceaux de bois flottants…La première chose à faire pour se prémunir des attaques autant que faire se peut, c’est être persuadé et persuader ses collaborateurs que quel que soit son niveau de responsabilité, ou son secteur d’activité, on est une proie en puissance sur le cyberespace où, d’autre part, la distinction entre vie professionnelle et privée est ténue.
D’abord, parce que trop souvent dans les entreprises, on considère que c’est le rôle du responsable des systèmes de sécurité informatiques et qu’en tant que simple utilisateur, on n’a pas à s’en soucier. Or on sait que l’humain est précisément le maillon faible de tout système de sécurité. À une méconnaissance, pour ne pas dire une réticence naturelle vis-à-vis d’une l’informatique toujours plus présente et complexe, s’ajoute parfois l’impression qu’on ne possède pas, à son niveau d’exécutant, ni du niveau de compétence pour se protéger, ni d’informations suffisamment sensibles pour mettre en péril son organisation.
Mais les cyber-délinquants utilisent rarement « la grande porte » pour pénétrer les systèmes et c’est souvent par l’accumulation de données fragmentaires et non critiques qu’ils élaborent leurs stratégies.
N’oublions pas que le cheval de Troie a été construit à partir de simples morceaux de bois flottants…La première chose à faire pour se prémunir des attaques autant que faire se peut, c’est être persuadé et persuader ses collaborateurs que quel que soit son niveau de responsabilité, ou son secteur d’activité, on est une proie en puissance sur le cyberespace où, d’autre part, la distinction entre vie professionnelle et privée est ténue.
Quelles sont les bonnes aptitudes à adopter pour communiquer en situation de cybercrise ?
Pendant longtemps, il a existé une espèce d’omerta sur la communication. Parce que les entreprises craignaient de devoir reconnaître une faille de sécurité qui leur serait préjudiciable, surtout si c’est le cœur de leur métier (comme les banques) et qu’on préférait donc « laver son linge sale en famille » et ne pas ébruiter les problèmes.
Les choses ont changé sous l’impulsion de trois facteurs :
Les choses ont changé sous l’impulsion de trois facteurs :
- d’une part, l’explosion du nombre de cyberattaques liée à la généralisation de l’informatique dans toutes les entreprises.
- D’autre part, parce que ces attaques n’ont plus concerné uniquement les OIV ou les structures gouvernementales mais aussi les PME, les ONG, les corps intermédiaires… Chacun s’est enfin senti concerné car menacé.
- Enfin, il y a eu une impulsion de l’Etat qui a réalisé que ces attaques pouvaient être très violentes et dommageables pour le pays, qu’elles soient menées par des Etats ou des groupes mafieux, et que l’intérêt de la Nation pouvait s’en trouver menacé. Dès lors, il a été admis qu’on puisse être l’objet d’une cyberattaque sans que cela ne remette en cause ses compétences et qu’il fallait communiquer dans un souci de transparence, pour rassurer ses clients ou utilisateurs mais aussi faire savoir à ses adversaires qu’on pouvait et savait détecter leurs entreprises délictueuses et surtout riposter. Il s’est agi de mettre en place une sorte de cyber-dissuasion.
C’est aujourd’hui admis pour les grandes entreprises, plus difficile pour les PME / TPME et parfois insurmontable pour certaines collectivités territoriales parmi lesquelles les petites communes. En tant qu’élu de la ruralité, je mesure le parcours qu’il reste à faire pour convaincre administrés et élus de la nécessité de se protéger ET de communiquer.
Quel est le message que vous voulez faire passer lors de cette journée ?
Il est triple :
- d’abord si la menace cyber est bien réelle, elle ne doit pas inhiber les initiatives et doit être considérée comme toutes les autres menaces qui pèsent sur les organisations.
- Ensuite, la réponse aux cybercrises ne doit pas être considérée comme étant de la responsabilité exclusive des experts en informatique.
- Enfin, si cette cybermenace est appelée à se développer et à évoluer, les solutions pour y faire face également : en ce domaine, je crois beaucoup dans l’intelligence artificielle pour nous aider dans les années qui viennent à anticiper et à résoudre les cybercrises même si, j’insiste, l’élément invariable et incontournable de la llutte restera le facteur humain.
Auteur : Thierry Fusalba
Ancien colonel chargé de la communication et de la contre-influence, Thierry Fusalba quitte l’armée après 25 années de service.
Il créé en 2009 l’Agence C4 qui regroupe des experts indépendants et propose aux entreprises une expertise en communication et gestion de crise.
Au titre de la réserve opérationnelle, il est envoyé au kosovo comme directeur du Joint operational center puis comme conseiller influence en Estonie dans le cadre de la mission de l’OTAN face à la Russie.
Enseignant à l’université de Tours, à l’IRIS et à l’Institut Diplomatique de Paris, il est membre du conseil scientifique de l’Institut d’étude des crises de Lyon. Installé en Touraine où il est élu, il est marié et père d’un petit Nikolas.