Après avoir distingué les différences de cybersécurité pour les individus, les entreprises et les Etats, notre chroniqueur Imed Boughzala décrit la prise de conscience individuelle en matière de cybersécurité comme un autre facteur essentielle de l’intelligence digitale des dirigeants.
La numérisation des usages multiplie les risques dans trois grandes catégories : la gouvernance des données, la gestion des relations avec des parties tierces, et le pilotage des technologies digitales et le recourt au Shadow IT.
Dans ce contexte, au fil des années, les dépenses mondiales en cyber sécurité ne cessent d’augmenter : 71,1 M$ en 2014, 101 M$ en 2018 et 150,4 M$ en 2021. Cette augmentation en Cyber security – au sens anglais, cyber sureté en français – pour les actes volontaires [[Chronique] Intelligence digitale : la sécurité et la sûreté digitales, deux concepts parallèles qui doivent se rencontrer dans la cyber sphère] est notamment due aux nombreux dispositifs de défense pour se prémunir des cyber attaques. Celles-ci peuvent se ranger dans deux catégories distinctes :
- Les attaques visant à récupérer des informations confidentielles telles que l’identité et les données personnelles, les mots de passe, … L’accès à ces informations privées peuvent entraîner des conséquences telles que le vol/usurpation d’identité. Les acteurs malveillants, utilisent des moyens connus : phishing, injection de malware, ou toute autre forme d’escroquerie.
- Les attaques visant des attitudes ou des comportements. Elles sont plus subtiles et compliquées à déterminer. Elles ne proviennent pas directement de personnes ayant pour objectifs de récupérer des données confidentielles. Ces attaques sont dues à l’augmentation des possibilités de communication entre les personnes via internet et les mineurs en sont les premières victimes. Les menaces courantes à la sécurité personnelle incluent : le cyber harcèlement, la cyber intimidation, les prédations en ligne et la sextorsion, etc.
Les États doivent eux aussi mettre en place des politiques de cyber défense de grande ampleur mais néanmoins coûteuses. Ainsi, la France s’est dotée depuis 2009 de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) dans une logique de Cyber défense. Dans le cadre du plan France Relance initié en réaction à la crise sanitaire, l’ANSSI pilote le volet Cyber sécurité doté d’un fonds de 136 millions €.
De même que pour les États et les personnes en général, les entreprises ne peuvent plus faire l’impasse de la cybersécurité et doivent recruter des spécialistes. Le ou la RSSI a pour mission de garantir la sécurité, la disponibilité et l’intégrité du système d’information et des données. Pour mener à bien sa mission, le ou la RSSI doit œuvrer sur plusieurs fronts :
- Sensibiliser les utilisatrices et utilisateurs aux problèmes de sécurité ;
- Prévoir la sécurité des réseaux, des systèmes, des télécommunications, des applications ;
- Mettre en place de moyens de fonctionnement en mode dégradé (récupération sur erreur) ;
- Créer une stratégie de sauvegarde des données ;
- Mettre en place d’un plan de reprise et de continuité d’activité « Disaster Recovery ».
Les organisations seront amenées à s’adapter à ces risques qui ne peuvent plus être gérés par un seul responsable informatique. Dans cette perspective, les organisations plus avancées sur cette problématique investissent pour déployer des stratégies plus transverse. Elles mettent en place un ensemble de différents moyens : techniques, organisationnels, juridiques et humains visant à empêcher l’utilisation non autorisée, le mauvais usage, la modification ou le détournement du système d’information. Cet ensemble – Sécurité des Systèmes d’informations (SSI) – vise quatre objectifs principaux appelés C.A.I.D. :
- Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou autorisations). Tout accès indésirable doit être empêché.
- Authentification : les utilisateurs doivent prouver leur identité via leur code d’accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l’utilisateur n’est reconnu que par son identifiant, tandis que dans le deuxième, il doit fournir un mot de passe ou un élément que lui-seul connaît. Cela permet de gérer les droits d’accès aux ressources concernées et maintenir la confiance dans les relations d’échange.
- Intégrité : les données doivent être celles que l’on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calculs de Checksum ou de Hachage.
- Disponibilité : l’accès aux ressources du système d’information doit être permanent et sans faille durant les plages d’utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.
Certes, aujourd’hui, les moyens ont été renforcés autour de la sûreté digitale ou Digital Security, avec le déploiement de technologies de parade et des stratégies défensives ou offensives. A l’inverse, il en existe très peu sur la sécurité digitale ou Digital Safety qui préviennent les attitudes et les comportements. En effet, d’après une étude du DQ Institute (2018), 56% des 8-12 ans en ligne sont exposés aux cyber-risques aujourd’hui. C’est pour cette raison qu’il est indispensable de sensibiliser les populations, et notamment les plus jeunes, aux risques numériques. Bien qu’il existe des logiciels permettant de bloquer l’accès aux mineurs aux sites identifiés comme « dangereux », ces derniers ne permettent pas de prévenir de tous les dangers auxquels ils sont exposés. A suivre donc !