Négligence et crédulité, lit du cybercrime - Numéro 457
01/05/2016
Comment faire de la cybersécurité une opportunité pour les entreprises ?
Xavier Leonetti : Offrir des solutions de cybersécurité aux salariés dans leur vie de tous les jours est une opportunité : il s’agit de définir les menaces qui pèsent sur leur patrimoine personnel (numéro de compte bancaire, identité numérique, réputation…), de les sensibiliser à la protection de leurs données personnelles pour qu’ils acquièrent des réflexes de sécurité, qu’ils utiliseront ensuite dans leur vie professionnelle. En partant d’exemples de la vie courante, la cybersécurité se résume à des actes de bon sens : en premier lieu du principe enfantin « je ne parle pas aux inconnus ». Sur Internet, tant de personnes communiquent directement à des inconnus leurs identifiants, mots de passe, numéros de comptes ! Donneraient-elles ces informations à un inconnu qui les aborde dans la rue parce qu’il porte l’uniforme d’un opérateur télécom, d’une banque ou d’une assurance ? Comme on le constate sur les réseaux sociaux à la veille des vacances scolaires, de nombreuses personnes communiquent des informations sur leur vie privée. Auraient-elles envie de distribuer dans la rue des tracts expliquant qu’elles s’apprêtent à partir en vacances, laissant leur appartement vide pour plusieurs jours ?
Cette approche pédagogique est déterminante, au regard de la typologie des cyberinfractions, dont 90 % sont des escroqueries ou des atteintes à la réputation ; le véritable piratage ne concerne qu’une part infime des attaques. La plupart des atteintes reposent sur la confiance des internautes et sur leur crédulité. L’enjeu pour l’entreprise est de développer les outils informatifs et préventifs, généralement peu coûteux, qui permettront de lutter contre neuf menaces sur dix. Cela acquis, la protection du patrimoine de l’entreprise devient une opportunité. En matière de prévention des escroqueries au faux virement par exemple (lorsque un escroc se fait passer pour un dirigeant de l’entreprise et ordonne un versement financier à l’étranger), la sensibilisation des salariés chargés de la comptabilité ou des finances a permis en 2016 de réduire considérablement le nombre de cas : celui des tentatives d’escroqueries est désormais supérieur à celui des infractions réellement constatées.
En quoi la cybersécurité peut-elle être créatrice de valeur ?
X. L. : La sécurité n’est jamais un gain, mais une absence de coût. En matière d’escroquerie au faux président, la mise en œuvre d’un dispositif de sensibilisation et de prévention a permis d’éviter en 2015 plus de 90 millions d’euros de préjudice. Cet argent est une capacité d’investissement préservée, une source de compétitivité et de croissance.
Le financement de la cybersécurité oblige-t-il à une réallocation des ressources de l’entreprise ?
X. L. : Il s’agit de financer des dispositifs de lutte contre l’intrusion dans un système automatisé de données. Ce piratage représente moins de 10 % des cyberinfractions constatées, mais ces actions, menées par des groupes ou des États, visent le plus souvent des intérêts stratégiques, publics ou privés. Par conséquent, les outils de lutte ne s’adressent pas a priori au grand public, mais à la grande entreprise, à un opérateur d’importance vitale, ou à une jeune pousse qui développe des innovations stratégiques. Les outils publics d’accompagnement et d’investissement contribuent au développement de solutions de cybersécurité « fabriquées en France ». Dans le même sens, des consortiums public-privé, sur le modèle de celui créé entre le ministère de la Défense et Orange, permettent de mutualiser les ressources et les compétences. Ainsi, les entreprises disposent d’offres françaises de cybersécurité, que ce soit en matière d’informatique en nuage ou de lutte contre les piratages. En la matière, une liste d’entreprises labellisées est disponible sur le site de l’Anssi.
Faut-il tout contrôler ?
X. L. : La sécurité et le sentiment d’insécurité relèvent principalement de facteurs humains. Un dispositif de sécurité doit être accepté par les salariés, ou il sera perçu comme intrusif, attentoire aux libertés ; là encore, la pédagogie est au cœur de la prévention. En outre, un dispositif de sécurité doit être proportionné aux menaces. Il s’agit de trouver un point d’équilibre entre les enjeux de sécurité et les modes de travail et de vie internes.
L’État a-t-il pris la mesure de la menace pour tous les secteurs ?
X. L. : Au ministère de l’Intérieur, un « cyberpréfet » est chargé de coordonner les dispositifs de prévention et de lutte contre les cybermenaces. Pour l’accompagner, la police et la gendarmerie disposent de services spécialisés, comme le centre de lutte contre la criminalité numérique (C3N) de la gendarmerie, en mesure de lutter contre toutes les formes de cybercriminalité. Les enquêteurs de ce service détectent les nouveaux comportements ou les nouvelles techniques adoptées par les cybercriminels. Ils développent des moyens de lutte, par exemple l’application pour téléphones permettant de détecter les piratages de terminaux de paiement des grands magasins. C’est une course technologique entre le gendarme et le cybervoleur. La police nationale dispose aussi de services et d’enquêteurs spécialisés. Ainsi, police et gendarmerie proposent un service public de cyberproximité sur l’ensemble du territoire. Une personne ou une entreprise peut directement solliciter un commissariat ou une brigade locale. Sur Internet, le site Interieur.gouv.fr propose plusieurs solutions de signalement en ligne avant plainte.
Quelles formes de coopération peuvent être envisagées entre les entreprises et l’État ?
. L. : Les enjeux de cybersécurité pour l’État et les entreprises se rejoignent souvent. Par exemple, contre la radicalisation sur Internet, des dispositifs de prévention et de sensibilisation sont mis en œuvre dans les entreprises, à partir de guides et de conseils prodigués par les services de l’État. Contre les piratages ou escroqueries, les services du ministère de l’Intérieur travaillent étroitement avec les entreprises et les fédérations professionnelles, afin de connaître leurs besoins et les menaces dont elles font l’objet. À la direction de la Gendarmerie nationale, la section intelligence économique territoriale agit en partenariat avec la CCI France ou la CGPME, afin d’offrir aux entreprises des outils de sensibilisation et de diagnostic.
Propos recueillis par J. W.-A.