La sensibilisation : pour prévenir le risque informatique

"text-align: justify;">Selon la célèbre maxime, la sécurité serait l'affaire de tous. Pour qu'elle soit en effet l'affaire de tous, la sécurité doit être enseignée à tous. Ce qui est le loin d'être le cas actuellement. Et je ne parle pas ici d'éducation dans le sens études supérieures même si cette question est importante et nécessiterait un billet à part entière. L'éducation à la sécurité informatique doit concerner tous les citoyens français et l'Etat doit donc être le fer de lance de cette démarche nationale et globale de sensibilisation aux risques liés aux systèmes d'information. On pourrait même aller être plus ambitieux et imaginer une vraie démarche européenne par le biais de l'ENISA (l'agence européenne de sécurité des réseaux et des systèmes d'information) qui est, ces derniers temps, de plus en plus mise en avant grâce à ses nombreuses et intéressantes publications.

Mais commençons petit avant de voir plus grand. En France, je pense que ce rôle est dévolu tout logiquement à l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Cette dernière a fait la une de l'actualité le mois dernier en voyant ses pouvoirs renforcés par un récent décret. L'ANSSI est désormais "l'autorité nationale officielle en matière de défense et de sécurité des systèmes informatique". L'agence a également profité de l'occasion pour publier et officialiser la stratégie française en matière de défense et de sécurité des systèmes d’information. Elle repose sur quatre objectifs stratégiques :

  • "être une puissance mondiale de cyberdéfense et appartenir au premier cercle des nations majeures dans ce domaine tout en conservant son autonomie ;
  • garantir la liberté de décision de la France par la protection de l’information de souveraineté ;
  • renforcer la cybersécurité des infrastructures vitales nationales ;
  • et assurer la sécurité dans le cyberespace."

L'ANSSI a également défini 7 axes d'effort :

  • Anticiper, analyser
  • Détecter, alerter, réagir
  • Accroître et pérenniser nos capacités scientifiques, techniques, industrielles et humaines
  • Protéger les systèmes d’information de l’État et des opérateurs d’infrastructures vitales
  • Adapter notre droit
  • Développer nos collaborations internationales
  • Communiquer pour informer et convaincre

Chacun de ses axes pourrait faire l'objet d'un billet intéressant pour développer ces problématiques (à noter dans un coin de ma tête...) mais je m'intéresserai ici au dernier et non pas moins important : "communiquer pour informer et convaincre". Examinons plus en détail ce qu'indique la stratégie française à ce sujet...

La sécurité des systèmes d’information repose tant sur la vigilance personnelle que sur l’organisation, les choix et mesures techniques portés par les entreprises et l’action des États.

Devant les conséquences potentielles d’une attaque majeure contre les systèmes d’information sur la vie du pays et de ses citoyens, la sensibilisation et la motivation des personnes et des organisations doivent être assurées.

Or, en France, l’information et le débat public sur les menaces que font peser les atteintes à la sécurité des systèmes d’information sur la défense et la sécurité nationale ou, plus simplement, sur notre vie quotidienne, restent très largement à développer.

Un soutien ciblé sera apporté par l’ANSSI aux décideurs afin de les aider à élaborer les mesures et à prendre les décisions nécessaires en matière de sécurité des systèmes d’information essentiels au bon fonctionnement de leurs organisations et à la protection de leur patrimoine technique, scientifique, commercial ou financier.

Plus largement, une communication appropriée sera développée par l’ANSSI vers le grand public et les entreprises.

Beaucoup de bonnes choses dans ces courts paragraphes. L'ANSSI met le doigt sur les éléments les plus importants : la sensibilisation des particuliers (mais qui sont des salariés ou des entrepreneurs dans le monde professionnel)  ainsi que le soutien spécifique aux entreprises et à leurs dirigeants afin de les aider à protéger leur patrimoine informationnel. Vous me direz qu'il n'y a rien d'exceptionnel dans ces concepts mais ils sont pour moi fondamentaux et ils manquent cruellement dans nos entreprises et dans notre vie de citoyen de tous les jours. L'Etat a certes développé un portail Internet dédié à la sécurité informatique securite-informatique.gouv.fr mais ça reste largement insuffisant. Si on regarde nos voisins (et pas ceux qu'on attendrait au premier abord) quelques initiatives intéressantes sont à mettre à leur profit :

  • En Suisse, mercedi 9 mars aura lieu le Swiss Security Day, la journée nationale de la sécurité informatique.
  • Toujours en Suisse, l'Ecole Polytechnique de Lausanne propose sur son site des campagnes de sensibilisation à la sécurité informatique.
  • Le portail de la sécurité informatique du Luxembourg : cases.public.lu qui propose pas mal de fiches de sensibilisation sur toutes les grandes problématique de la sécurité de l'information. Ce site est même cité en première page en tant que partenaire du site officiel gouvernemental français consacré à la sécurité informatique.

L'ANSSI va donc avoir pas de mal de boulot ces prochaines années pour développer ses campagnes de communication et de sensibilisation pour le grand public et les entreprises (et spécialement les PME qui sont souvent les plus fragiles face aux risques informatiques). Espérons que les moyens mis à disposition (budget et personnel) sera à la hauteur des ambitions de la France dans ce domaine. Et l'actualité récente va dans ce sens avec l'annonce de la cyber-attaque qui a touché le Ministère de l'Economie, des Finances et de l'Industrie et qui a et va mobiliser longuement l'ANSSI. Cette "spectaculaire cyber-attaque" comme l'a dit lui même le Ministre du Budget sera-t-il l'électro-choc que beaucoup attendaient ? L'avenir nous le dira... Au vu des premiers éléments distillées par l'ANSSI, l'attaque semble être avant tout s'appuyer sur des techniques de social-engineering (du spear-phishing en particulier) utilisant des e-mails usurpés accompagnés d'un PDF infecté. L'attaque exploite donc bien des failles logicielles (avec un malware fait sur-mesure) mais également et surtout une faille humaine, que des campagnes de sensibilisation et de communication pourront prévenir (même si une attaque sophistiquée comme celle-ci, comme les premières informations le laissent penser, reste dans tous les cas quasiment impossible à détecter même pour un personnel qualifié et sensibilisé... En effet, qui n'ouvrirait pas un e-mail provenant d'un collègue connu ?) soutenues par une politique sécurité concrète et "terrain" et des solutions techniques adaptées (pas seulement basées sur un antivirus et un firewall). Dans le cas de l'attaque de Bercy, l'alerte aurait été donnée par un utilisateur vigilant qui avait détecté un comportement anormal au niveau de sa boîte mail.

Pour aller plus loin sur ce sujet, je vous conseille vivement de lire l'article de Félix sur son blog. Il revient plus en détails sur le mode opératoire de l'attaque sous l'angle technique et tactique sans oublier de pointer les faiblesses intrinsèques actuelles de nos systèmes d'information.

One thought to “La sensibilisation : pour prévenir le risque informatique”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This site uses Akismet to reduce spam. Learn how your comment data is processed.