« En 2019, les rançongiciels étaient classés 6ème menace pour l’IT ». Deux ans plus tard, ils se classent en tête du podium et ne sont pas prêts d’en redescendre, estime Jérôme Notin, directeur général de Cybermalveillance.gouv.fr (co-fondé par l’Anssi et le ministère de l’Intérieur). Les risques et menaces auxquels sont confrontées les entreprises et les particuliers sont nombreux, et les interpellations des différents organismes sur ce sujet se sont multipliées ces dernières années, accélérées par la pandémie et le télétravail. Afin d’échanger sur les bonnes pratiques et les normes relatives à ce sujet, le Club 27001 a invité plusieurs organismes autour d’une table ronde à Paris, ce 4 novembre. Le dernier exemple d’acte malveillant en date auquel l’organisme Cybermalveillance.gouv.fr a été confronté concerne l’arnaque à la brigade de protection des mineurs. il s’agit d’un mail qui touche surtout les boîtes mails des particuliers, leur signalant qu’ils font l'objet de poursuites judiciaires pour avoir consulté des sites pédopornographiques. Signé par la police judiciaire, le ministère de l’intérieur, la gendarmerie nationale ou encore Europol, ce message frauduleux est l’une des dernières menaces relevées par le dispositif national. Jérôme Notin note que pour un particulier touché, ce sont 2 entreprises et 40 collectivités victimes d’un acte de cybermalveillance. Un ratio en forte hausse ces derniers mois.
La Cnil, régulateur français, représentée ici par Bertrand Pailhès, directeur des technologies et de l’innovation , est en charge de toutes les activités de cybermalveillance impactant les données personnelles. Il a ainsi fait part de ses préoccupations suite à la hausse perceptible de ces activités. Ces dernières ont augmenté de 25% par an depuis la mise en place du RGPD estime Bertrand Pailhès, ajoutant que cette année, la Cnil s’attend à une augmentation de 75%. Selon lui, la multiplication des attaques dans le domaine de la santé ont fait prendre conscience de leur gravité et des dangers qu’elles représentaient.
Contenir un incident et réagir efficacement
Pour encadrer la gestion d’un incident ou d’une crise, plusieurs moyens existent comme le rappelle Olivier Revenu, directeur associé chez ON-X. La norme ISO 27035, intitulée « gestion des incidents de sécurité de l'information », fournit par exemple les bonnes pratiques et les lignes directrices pour la conduite d'un plan stratégique de gestion des incidents et la préparation des réponses en cas d'incident. Elle permet ainsi d’encadrer les cinq grandes étapes : planification et préparation, détection et reporting, analyse et décision, réaction avec prises de mesures et enfin retour d’expérience.
En soutien aux TPE et PME, Cybermalveillance.gouv.fr propose de son côté une aide complémentaire avec des prestataires labellisés ExpertCyber. Ce label, lancé en février 2021, reconnait de fait l’expertise numérique des prestataires de l’organisme (1200 prestataires référencés sur le site dont 135 labellisés sur l’ensemble du territoire national). Avec une durée de validité de deux ans, et un coût de 800 euros, c’est un moyen de rassurer les entreprises et leur offrir un contact et une proximité avec le prestataire tout au long de la résolution de l’incident.
Une démarche parfois confuse pour les victimes
Pour Olivier Revenu, « l’événement devient un incident de sécurité quand quelqu’un découvre une vulnérabilité ». Qui contacter alors, dans quel ordre, sous quelles conditions, restent des questions auxquelles les entreprises n’ont pas toujours de réponse. Bien sûr, il faut contacter l’assurance, la Cnil, le service de police judiciaire, et il est également possible de faire remonter l’information à l’Anssi. Mais dans les faits, certains délais sont à respecter. La Cnil impose ainsi 72 heures pour faire part d’une vulnérabilité si celle-ci impacte les personnes. « Il s’agira d’une notification initiale qui pourra être enrichie de notifications complémentaires ». « Le rôle du régulateur est d’avoir un regard indépendant, de demander aux entreprises d’informer les personnes touchées par la faille s’il le faut » ajoute Bertrand Pailhès.
« La sensibilisation est fondamentale » insiste Jérôme Notin. « Se protéger avec des outils, si possible français, et sensibiliser les collaborateurs » sont selon lui les clés pour une protection des systèmes d’information des entreprises, quelle que soit leur taille. Un point dans lequel Olivier Revenu se reconnaît parfaitement, faisant un parallèle entre le SI et la maison. « Il n’y a pas de remède miracle pour gérer des incidents de sécurité. Il faut des fondations solides, des portes, des fenêtres et savoir les fermer à clé, et alerter quand il le faut ».