La digitalisation des activités économiques s’est accompagnée du développement de nouveaux risques qui font de la cybersécurité un enjeu majeur pour toutes les entreprises. Du vol de données au piratage de comptes, en passant par les rançongiciels, elles peuvent être victimes d’une nouvelle forme de criminalité qui appelle à faire preuve de vigilance. Décryptage.
Les cyberattaques n’ont jamais été aussi nombreuses et touchent désormais tous les types d’entreprises, quels que soient leur taille ou leur type d’activité. Si les plus grandes possèdent les ressources en interne pour y faire face, il en va tout autrement pour les TPE et PME. Comment mieux prendre en compte cette menace ? Nous avons rencontré Guillaume Crépin, délégué pour l’Île-de-France de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Les cyberattaques sont devenues des menaces de premier plan pour les entreprises. Comment ont-elles évolué ces dernières années ?
En tant qu’autorité nationale placée sous l’autorité du Premier ministre, l’ANSSI suit avec attention l’évolution des menaces numériques pesant sur la Nation, qu’elles soient stratégiques ou systémiques. L’Agence partage ses analyses dans diverses publications telles que des états de la menace générale ou sectorielle, ou des alertes ponctuelles de sécurité. Depuis deux ans, l’Agence publie un panorama annuel de la menace cyber. Dans sa dernière édition, elle a constaté que la menace reste élevée et intense avec, en principales victimes, toujours les mêmes entités : TPE/PME/ETI, collectivités territoriales et établissements de santé. De plus, les attaquants utilisent des faiblesses techniques connues et corrigées, mais pour lesquelles les utilisateurs tardent à appliquer les correctifs.
Les entreprises prennent-elles suffisamment en compte ce risque ?
Même si l’on constate que de plus en plus de chefs d’entreprise commencent à prendre
conscience de la réalité du risque numérique, il reste encore un long chemin à parcourir pour améliorer significativement le niveau général de protection. De trop nombreux responsables continuent de penser qu’ils ne sont pas concernés ; et parmi ceux qui ont été sensibilisés, beaucoup ne savent tout simplement pas par où commencer pour apporter le bon niveau de sécurité.
Comment l’ANSSI accompagne-t-elle les TPE et PME sur ces sujets ?
La mission première de l’ANSSI est de protéger les systèmes d’informations critiques du pays,comme les systèmes régaliens ou ceux d’opérateurs considérés comme vitaux pour la Nation. Or, la menace a évolué ces dernières années, passant d’un risque limité et ciblé à des entités vitales en une menace de masse et systémique. Face à la massification des attaques, l’ANSSI a lancé des actions pour passer à l’échelle. Si elle doit poursuivre son travail de « haute couture » selon les propos du Directeur général, elle doit aussi en parallèle développer des capacités de production d’outils et de services « prêts à porter » pour aider le plus grand nombre à se protéger. Par exemple, l’Agence a élaboré de nouveaux formats pour ses publications, plus courts et plus accessibles ; elle a aussi développé de nouveaux outils en ligne pour accompagner ceux qui doivent améliorer la sécurité de leur système d’information. Ainsi, Mon Service Sécurisé s’adresse aux organismes publics et MonEspaceNIS2 (actuellement en version beta) se destine aux futures entités concernées par la transposition prochaine de la directive européenne NIS 2. Un nouvel outil, MonAideCyber, complète ces dispositifs en permettant aux entités sensibilisées, mais peu matures, de bénéficier d’un diagnostic gratuit mené par un aidant formé par l’ANSSI et qui délivre 6 recommandations prioritaires et personnalisées.
« Tous connectés, tous responsables ! Il est essentiel de former, informer et entraîner tous les collaborateurs, quels que soient leur rôle ou leur position, pour que chacun devienne à son niveau une barrière de plus pour la sécurité de l’entreprise. »
Quelles sont les règles d’or à appliquer en la matière ?
Elles se résument ainsi : hygiène numérique élémentaire et vigilance constante. Tout comme dans la « vraie vie » il existe des règles d’hygiène de base, il s’agit des règles d’hygiène basique en matière de sécurité numérique qui, si elles sont correctement appliquées, permettent de réduire considérablement les risques. L’ANSSI en a identifié 42 qu’elle a compilées dans un référentiel national. Néanmoins dans un guide spécifiquement destiné aux TPE/PME, l’ANSSI relève les 13 règles essentielles et aisément applicables à l’échelle d’une petite structure. Il reste surtout nécessaire de convaincre ses collaborateurs que les règles sont là pour les protéger et protéger l’entreprise.
www.cyber.gouv.fr
UNE NOUVELLE RÉGLEMENTATION
Face à des acteurs malveillants touchant de plus en plus de structures, la directive NIS 2 élargit ses objectifs et son périmètre d’intervention. Entrée en vigueur le 17 octobre dernier, elle incite les États membres de l’Union européenne à renforcer leur coopération en matière de gestion de crise cyber, en formalisant le cadre du réseau CyCLONe (Cyber Liaison Organisation Network). La nouvelle loi s’applique à 100 000 structures en Europe, dont plus de 15 000 en France : entreprises (des PME aux grands groupes repartis à travers 18 secteurs d’activités), collectivités locales, centre de recherche, établissement de santé… En France, l’ANSSI assumera le rôle de régulateur et veillera à l’application de la législation nationale.
→ Retrouvez le webinaire de l’ANSSI : « NIS 2 : présentation de la directive et de sa transposition nationale »
→ Réalisez un test en ligne pour déterminer si votre entité est assujettie à la directive
→ Pour plus d’informations, accédez au texte de la directive
POUR ALLER PLUS LOIN :
- La cybersécurité, outil de compétitivité : pourquoi investir ? Entretien avec Sébastien Leroy, référent cybersécurité, et Jean-Stéphane Viallefont, commandant du Bureau Renseignement de la Gendarmerie d’Île-de-France
- Les défis du recrutement
- Cybersécurité et IA : risques et opportunités. Entretien avec Stanislas de Rémur, fondateur d’Oodrive
- Comment protéger des structures aux ressources limitées ?
Paru dans #MagCAPIDF
