La cybersécurité - Foire aux questions
La cybersécurité est un sujet vaste, complexe, technique. Mais les enjeux sont tels qu’ils concernent la société dans son ensemble. La cybersécurité ne peut plus être réservée aux spécialistes. Cette FAQ vise à apporter des réponses claires à des questions fréquentes et légitimes.
Pas uniquement. En réalité, à son niveau, chacun a une part de responsabilité en matière de sécurité informatique.
Il est vrai que la sécurité des systèmes d’information, qui tire son origine de la cryptologie, est un secteur très spécifique. Il mobilise des experts qui disposent de compétences extrêmement pointues et variées en informatique, en mathématiques ou encore en physique.
Toutefois, compte-tenu de leurs implications, les enjeux « cyber » vont bien au-delà des modalités techniques. La cybersécurité mobilise notamment la gestion des risques, le droit, les finances, la communication, etc.
Par ailleurs, chaque membre de l’organisation faisant usage des outils informatiques a une part de responsabilité dans la protection de son organisation. Il s’agit par exemple de faire preuve de vigilance vis-à-vis de demandes dont l’émetteur est inconnu, de pièces jointes ou de supports USB potentiellement piégés, et de prévenir le responsable de la sécurité de l’organisation en cas de doute.
En termes de cyberdéfense en particulier au niveau étatique, on qualifie « d'offensives » les pratiques visant à s’introduire ou surveiller un système d’information adverse, et de « défensives » les pratiques visant à protéger les systèmes de ces intrusions. Si les compétences qu’ils mobilisent sont parfois similaires, les deux domaines ont bien une visée différente.
En France, au niveau de l’État, les missions « offensives » et « défensives » sont assurées par des entités distinctes. Il s’agit du « modèle français », permettant d’éviter tout mélange des genres. L’ANSSI assure uniquement des missions défensives, de protection des systèmes d’information.
En France, l’ANSSI est l’autorité nationale en matière de cybersécurité et de cyberdéfense. Elle travaille en relation avec une multiplicité d’acteurs publics comme privés, jouant tous un rôle dans l’élévation du niveau de cybersécurité global : fournisseurs de produits et services de cybersécurité, monde de la recherche et de la formation, acteurs étatiques, etc.
Pour aller plus loin :
Les cyberattaques sur les organisations peuvent avoir des impacts très concrets. Les conséquences sont souvent de nature financière, par exemple dans le cas d’attaques par rançongiciels. Il existe aussi des enjeux d’image, notamment lorsqu’un site Internet est affecté ou plus généralement, que l’attaque subie par une entreprise nuit à la confiance envers celle-ci.
Lorsque des systèmes d’information sont atteints, c’est parfois le fonctionnement même de l’organisation qui peut être entravé- on parle alors de sabotage. Les attaques peuvent ainsi avoir des effets dévastateurs sur les organisations et les personnes, en particulier lorsqu’elles visent des systèmes d’information critiques : on peut imaginer les conséquences d’une action malveillante sur les systèmes d’un hôpital ou d’un service de transport.
Les attaques ciblant les organisations peuvent avoir d’autres effets sur les personnes, par exemple dans le cas où les données personnelles confiées à un organisme sont dérobées à la suite d’une attaque et utilisées à d’autres fins (chantage à la webcam, usurpation d’identité, etc.).
Pour aller plus loin :
Le Règlement général sur la protection des données (RGPD) harmonise les règles et les pratiques européennes en matière de protection des données à caractère personnel au sein des organisations. En France, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui est chargée de veiller à sa bonne application.
La mise en œuvre de mesures de sécurité techniques ou organisationnelles appropriées fait partie des exigences fixées par le règlement. Ces mesures peuvent notamment inclure le chiffrement des données et des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience.
La sécurité des données est donc l’un des piliers de la protection des données à caractère personnel – avec d’autres principes tels que la transparence, la limitation des finalités, la minimisation des données, la pertinence et la durée de conservation d’une donnée.
La différence entre cybersécurité et protection des données réside principalement dans le fait que le premier s’attache aux systèmes (le contenant) tandis que le second s’attache aux informations en tant que telles (le contenu).
Les mécanismes de sécurisation recommandés diffèrent selon le type de structure. Toutefois, des solutions existent quels que soient les cas.
Afin d’accompagner les responsables de ces questions au sein des organisations, de très nombreuses ressources sont élaborées par l’ANSSI. S’adressant à différents types de publics (RSSI, dirigeant, risk managers…), elles sont conçues pour répondre à une variété de besoins. Pour prévenir ou répondre à des incidents de sécurité, les organisations peuvent, par ailleurs, faire appel à des prestataires de sécurité. Certains disposent du VISA de sécurité délivré par l’ANSSI ou du label ExpertCyber.
Mais la sécurité informatique ne concerne pas que quelques profils spécialisés : tous les membres de l’organisation sont concernés. Pour permettre à chacun de s’initier au sujet, l’ANSSI met gratuitement à disposition le MOOC SecNumAcadémie et propose 10 bonnes pratiques élémentaires de sécurité. Des ressources complémentaires sont disponibles sur les sites du Cybermoi/s, et de Cybermalveillance.gouv.fr.
En tant qu’individu au sein d’une organisation, lorsqu’un problème est constaté, il est nécessaire de contacter la direction des systèmes d’information (DSI), et en particulier le ou la responsable de la sécurité informatique (RSSI), ou toute personne en charge de ces questions au sein de l’organisation.
La plateforme Cybermalveillance.gouv.fr propose un dispositif de signalement pour les petites et moyennes entreprises, les collectivités et les particuliers. Elle permet d’être orienté vers un prestataire de proximité en mesure d’apporter une assistance.
L’ANSSI dispose également d’un dispositif de signalement (voir la rubrique « En cas d’incident ») permettant de nourrir la connaissance de la menace et de développer des moyens de protection. Les organisations régulées, (organismes d’État, opérateurs d’importance vitale [OIV] et opérateurs de services essentiels [OSE]) ont l’obligation de se signaler à l’ANSSI en cas d’attaque.
Enfin, en cas d’attaque, il est possible de porter plainte pour contribuer à ce qu’aboutisse à une condamnation des cyberattaquants et à une réparation des dommages causés.