Strasbourg: Comment préparer votre entreprise aux cybermenaces?

SECURITE Le Forum du Rhin supérieur sur les cybermenaces se tient ce mardi à l'Ecole nationale d'administration (Ena) de Strasbourg...

Alexia Ighirri

— 

Les cybermenaces ont de quoi faire peur. Illustratio
Les cybermenaces ont de quoi faire peur. Illustratio — markusspiske / pixabay
  • Le 11e Forum du Rhin supérieur sur les cybermenaces se tient ce mardi à l’Ecole nationale d’administration (Ena) de Strasbourg.
  • A cette occasion, 20 Minutes a pris conseil auprès de spécialistes pour tenter de se protéger face aux divers risques cyber.

Il y a quelques jours, on apprenait que des individus avaient réussi à voler du carburant en piratant le système informatique de stations-service dans l’Oise. Un exemple démontrant que les cyberattaques peuvent toucher tout le monde. Et cité par Gilbert Gozlan, président de l’association des réservistes citoyens de la gendarmerie d’Alsace, au moment de présenter le 11e Forum du Rhin supérieur sur les cybermenaces organisé ce mardi à l’Ena de Strasbourg. Avec pour thème la gestion des données.

L’objectif du forum et de ses intervenants : sensibiliser les petites et moyennes entreprises (PME) et industries (PMI) aux risques cyber. « On n’aura jamais un niveau de sécurité parfait, mais on peut les aider à progresser sur un ou deux points », glisse-t-il. Alors comment faire face ?

  • Faire de la formation

L’erreur est humaine. Et en même temps, il suffit d’une erreur humaine pour faire courir un grand risque à une société, dixit les experts. Il s’agit donc de sensibiliser et de former chacun aux menaces peut-être encore trop mal connues. Michel Rochelet, référent régional de l' Agence nationale de la sécurité des systèmes d'information (Anssi) a vu dans les PME et PMI « une grande faiblesse, une fragilité » due à « un manque de sensibilisation et de moyens. Il faut que les données soient considérées comme des biens essentiels à protéger. C’est une réflexion à avoir avant d’engager des moyens. »

Il y a eu une sorte de relâchement, d’anesthésie, sur cette problématique. »

La sensibilisation peut s’avérer être utile au-delà des sociétés bien sûr. Prenons l’exemple des collectivités, amenées à passer à la numérisation et qui détiennent elles aussi des données confidentielles. « Quand je suis arrivée en mairie, j’ai eu l’impression que les portes étaient grandes ouvertes. Je ne fustige pas les collectivités. Il faut sensibiliser le personnel. Et rapprocher la sphère privée de la sphère publique qui est en retard, mais c’est un retard qu’on peut combler », témoigne Ludovic Haye, maire de Rixheim et dirigeant de CyberDiag.

Identifier les risques

La menace évolue : « Aujourd’hui c’est un marché, qui ne nécessite que très peu de connaissances », résume Gilbert Gozlan. Certes il y a des « attaques robustes » aux « méthodes sophistiquées », mais ce ne sont pas forcément celles qui visent les petites structures. Reste qu’à cette échelle, les menaces peuvent venir d’un peu partout. Et elles ne se limitent pas qu’au rançongiciel, un logiciel malveillant qui prend en otage des données personnelles. « Une PME s’est rendu compte qu’elle perdait ses marchés. Il s’avère qu’une personne avait quitté l’entreprise mais avait gardé les codes du compte administrateur… C’est juste une question organisationnelle, ce n’est que du bon sens », raconte encore notre interlocuteur.

Michel Rochelet poursuit : « Les sous-traitants sont des proies intéressantes. Par exemple, une imprimante est un système d’information à part entière. Alors si on ne contrôle pas qui vient faire la maintenance, on prend le risque d’un vol de données par simple clé USB ».

Investir et contrôler

Les intervenants du forum conseillent des choses « simples mais qui éloignent les principaux risques » : au niveau de la gouvernance déjà, mettre en place un protocole pour savoir qui fait quoi, qui a accès à quoi, éventuellement changer les mots de passe. Niveau matériel, il est recommandé par exemple de mettre en place des SAS de décontamination (une machine qui n’aurait pour application qu’un antivirus) où y brancher les clés USB. Des solutions effectivement assez simples.

« Lorsqu’on attaque une PME, c’est pour avoir un résultat rapide. Il faut donc juste des moyens pour décourager. C’est comme si j’installais une porte blindée chez moi : ça ne veut pas dire qu’il n’y aura pas de cambriolage, mais le cambrioleur qui veut aller vite ira plutôt s’attaquer à la porte en carton du voisin », illustre Jonathan Weber, maître de conférences en informatique à l’université de Haute Alsace.