3 questions à Vincent Strubel, sous-directeur Expertise à l'Agence nationale de la sécurité des systèmes d'information (Anssi)(1).
" Dans 90 % des cas, c'est une question de bonnes pratiques "
Quels sont les plus grands dangers auxquels sont confrontées les entreprises ?
Il existe deux catégories d'attaques. Celles dites "ciblées" et celles non ciblées. Les non ciblées sont essentiellement des virus informatiques, des rackets, des cryptolockers chiffrés avec demande de rançon. Elles peuvent être très dangereuses pour les PME en termes de risque d'image, mais ne restent que des nuisances à l'échelle des grands comptes.
Ensuite, les attaques ciblées sont de deux sortes. Il existe l'espionnage économique, souvent difficile à contrer car invisible. De plus, les grandes entreprises ne communiquent pas dessus. Des services mercenaires peuvent aussi perpétrer ces attaques pour ensuite revendre les données et les secrets industriels ou de R&D. Il y a aussi un sabotage visible et destructif, revendiqué ou non, qui peut révéler des informations le jour de la sortie d'un produit, par exemple.
Comment se protéger contre ces attaques ?
Dans 90 % des cas, c'est une question de bonnes pratiques, bien plus que de solutions techniques. C'est comme en médecine, le premier réflexe est d'abord une question d'hygiène. Cela passe par des mots de passe robustes, des sauvegardes ou la mise à jour des logiciels. Mais il faut aussi être vigilant sur le prêt d'ordinateurs portables. Ces bonnes pratiques n'engendrent pas de surcoûts ! En plus, les entreprises peuvent recourir à des antivirus, des pare-feu ou des moyens d'authentification des réseaux. Toutes ces compétences n'existent pas en interne. L'acheteur doit solliciter un prestataire de services labellisé pour envisager un audit.
Selon vous, les entreprises sont-elles suffisamment préparées face à ces risques ?
Certaines ont déjà mis en place une organisation de crise en cas d'attaque. D'autres, évidemment, ne le sont pas suffisamment. Les 218 "opérateurs dits d'importance vitale" (OIV) dans le transport, l'énergie, etc. sont les plus sensibles. Leur politique de sécurité informatique est régie par le volet cybersécurité de la loi de programmation militaire publié le 27 mars 2015.
(1) Service à compétence nationale, l'Anssi est rattachée au secrétaire général de la défense et de la sécurité nationale (SGDSN). Ce dernier assiste le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale.
Vincent Strubel,
NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles