Les menaces du 21ème siècle

Les menaces ont accompagné l’Humanité dès son apparition. A ce titre, aujourd’hui ne diffère pas d’hier. Et cela même si l’actualité – sous l’angle de l’informatique – est sans cesse rythmée par des vols et des utilisations abusives de données, c’est-à-dire à notre insu et sans notre consentement. Alors que faire ? Naturelle maladie de cette nouvelle industrie ? Attendre que cela se passe ? Dans la négative, par où commencer ?

Ce qui se passe actuellement doit nous inciter à :

  1. prendre ces menaces très au sérieux
  2. mettre en place une politique de sécurité
  3. ne céder ni aux effets de mode, ni à la panique.

Les médias sur-réagissent et le secteur informatique va en profiter économiquement

Lors du passage de l’an 1999 à 2000, d’innombrables articles et émissions nous annonçaient une catastrophe mondiale. Puis, à la date fatidique, rien ne s’est passé et la Terre a continué de tourner…

D’aucuns pensent que ce que nous revivons le même schéma. Que les médias et le secteur informatique sont les bénéficiaires de cette menace. Bien qu’étant juge et partie, nous ne partageons pas cet avis. Il y a certes des excès mais il y a aussi des professionnels qui prennent le danger au sérieux et veillent à ce que des catastrophes soient évitées.

Le RGPD emprunte un chemin analogue: des alertes, conduisant à une saturation naturelle face à trop d’informations et une oscillation entre périls fatals et remèdes miracles. Ici, cet excès d’alarmisme s’explique: la loi était déjà entrée en vigueur en mai 2016 ! En revanche, son application ne se faisait que deux ans plus tard, en mai 2018. Aujourd’hui, avec le (bref) recul, le fort intérêt des médias et des professionnels du domaine (informaticiens, avocats, juristes) pour la protection de données nous semble justifiée : beaucoup d’entreprises n’ont hélas pas encore considéré la question.

Ici, un vol. Là, une utilisation abusive.

En cette nouvelle année 2019, la cybersécurité est sur toutes les lèvres. Ici, un vol. Là, une utilisation abusive via par exemple un partenariat caché. Les tristes sorts réservés à nos données (personnelles et professionnelles) ne connaissent hélas pas de limites.

Cela dit, à l’instar du RGPD, si la cyber-sécurité bénéficie d’une telle attention de la part des médias, rien de plus normal puisque le sujet est assez récent et l’industrie informatique encore jeune. Et les cas ne cessent de se multiplier et personne ne semble pouvoir y échapper : à la fin janvier 2019, les autorités singapouriennes révèlent qu’en 2016, des données relatives à la santé de près de 14’200 patients atteints par le sida furent dérobées par vengeance et mises en ligne ; avant hier, ce fut l’Allemagne avec l’effraction de comptes de personnalités, notamment politiques. Il y a peu, Google s’est vu infliger une amende par la CNIL dans le cadre du RGPD. Aujourd’hui, selon AVAST, plus de la moitié de nos applications installées sous Windows PC constituerait une faille de sécurité car obsolètes.

Photo ABISSA informatique : cyberattaques, RGPD et menaces
Emballement médiatique excessif des médias face au RGPD et à la cybersécurité ?

Prendre les menaces au sérieux

Ainsi, considérer les menaces ne signifie en rien céder aux sirènes d’une quelconque mode ou paniquer inutilement. Considérer une menace revient à admettre que sa propre organisation peut être attaquée. Et cette éventuelle faiblesse du système de défense de l’entreprise est de deux ordres : matériel et comportemental.

Le matériel, les technologies et les équipements utilisés peuvent effectivement souffrir de défauts de conception à l’origine (cf. Intel et les failles Spectre, Meltodown ou encore Foreshadow). Dans ce cas, l’utilisateur lambda (individu ou entreprise) n’a pas les compétences pour prévenir une attaque; la responsabilité en incombe sans doute aux fabricants.

Vos collaborateurs – vecteurs de cybersécurité

Par contre, pour le reste, l’utilisateur et l’informaticien ont le devoir de devenir, à défaut de l’être déjà, des vecteurs de sécurité. En effet, les cyberassurances ne couvriront pas toutes les cyberattaques. Elles chercheront des preuves de négligence. Il appartiendra donc au service informatique de scrupuleusement veiller aux contrôles et mises à jour ad hoc et de les documenter pour en garantir la traçabilité.

Quant aux collaborateurs, il faudra les sensibiliser aux dangers réels et les associer de manière active à la protection de l’entreprise et de ses données. Mais c’est un aspect que nous aborderons dans un prochain article.

No Comments

Laissez votre avis

Autres articles du blog