Mais pourquoi parler des JO dans cet article édité par une société pure player de la cybersécurité ? Et bien il faut quand même rappeler que ce déroulement parfait n’était pas garanti. « Les JO, ce sera un formidable évènement, ce sera aussi une formidable cible », affirmait – en février 2024 – Vincent Strubel, le directeur général de l’ANSSI.
Comment ces JO ont-ils pu se dérouler dans une si apparente quiétude cyber ?
C’est justement parce que l’évènement constituait une cible pour tous les types d’attaque, avec des motivations politiques, financières ou criminelles, parce que ce risque était connu et même communiqué, que 350 entités – dont 80 critiques – ont été particulièrement protégées.
L’anticipation a été primordiale !
Attention mondiale tournée vers l’évènement, protection des données personnelles des participants et des spectateurs, impact économique des JO sur notre PIB, utilisation de technologies de pointe tant pour le déroulement des épreuves que pour la gestion des spectateurs, tous les facteurs d’exposition et de risque ont été pris en compte.
La conjonction des efforts de l’ANSSI et des organisateurs des JO et JOP ont porté principalement sur cinq axes principaux : l’identification de la menace cyber concernant ces Jeux, la sécurité des Systèmes d’Information critiques, la protection des données sensibles, la sensibilisation de l’écosystème concerné, et la préparation à l’intervention en cas de cyber attaque.
L’ANSSI a publié un bilan très intéressant de la cybersécurité des JO et JOP, avec une description du dispositif opérationnel et de la coordination cyber. Outre 465 signalements d’évènements de sécurité cyber avec impact bas, c’est 83 incidents qui ont été recensés, avec réussite de l’action d’un acteur malveillant et impact sur le système d’information.
Et nous pouvons donc tous nous souvenir et nous réjouir d’un été magnifique sur le plan des émotions sportives, et d’un été rassurant sur le plan de la sécurité cyber !
Mais qu’en est-il de cette fin d’été et début automne 2024 ?
Peut-on être serein sur le plan de la cybersécurité de notre économie ?
Sur le plan national, force est de constater que le climat est particulièrement agité, voire menaçant et orageux. Près d’un million et demi de clients dont les données personnelles ont été dérobées dans une grande enseigne de produits culturels, une enseigne de l’électroménager victime d’une cyberattaque exposant les données de plusieurs centaines de milliers de ses clients, le site internet d’une région, une grande ville française et sa communauté urbaine attaqués par des hackers pro-russes, une ville de Normandie coupée de tout moyen de communication début septembre … Plus inquiétant en matière d’effet « cascade », l’attaque subie mi-août par un hébergeur et infogéreur impactait encore début septembre des enseignes très connues du commerce en ligne, avec un impact redoutable pour leur activité : plus de web marchand.
C’est donc une succession d’évènements « cyber insécurité » qui ont accompagné la rentrée des classes, à l’opposé du calme perçu pendant les JO et JOP. Il est difficile de trouver une explication commune à ces incidents de sécurité. Où se situerait le curseur de l’explication entre manque de préparation et ardeur offensive des cyberattaquants ? Probablement que le curseur nécessite d’être poussé en permanence pour rester orienté vers la cyber résilience, alors que la tentation est parfois de se reposer sur ce qui a été fait. C’est d’ailleurs tout l’enjeu d’une véritable gouvernance de la cybersécurité, qui exercée dans la durée procure les résultats attendus.
Mais s’il fallait se souvenir de faits marquants sur cette vague d’incidents cyber en cette fin d’été 2024,
le rédacteur de ce billet retiendrait en priorité trois sujets :
La multiplication des exfiltrations de données en cette année 2024
La preuve par l’exemple qu’il n’existe pas de sécurité by design avec l’externalisation ou l’infogérance
Le risque toujours sous-estimé, notamment du côté des TPE et PME.
2024 aura été une année ‘remarquable’ en matière de fuite de données.
A méditer car ce sont plusieurs dizaines de millions de personnes qui auront été concernés cette année par des fuites de données. Opérateurs gestionnaires du tiers payant, assurance retraite, sites de commerce électronique, ces violations de données personnelles se sont succédé tout au long de l’année, après une année 2023 déjà inquiétante, avec notamment 43 millions d’identités dévoilées par une cyberattaque visant France Travail. Sont-elles revendues à faible prix à qui veut les utiliser ? Gardons une certaine réserve sur ce sujet, mais il est certain que la capacité à monter des scénarios phishing extraordinairement crédibles devient très inquiétante.
L’externalisation et l’infogérance ont longtemps été pensés plus sûrs par conception
La cybersécurité s’entendant by design. Mais depuis quelques années, l’infogérance et la cybersécurité apparaissent autant indispensables à la performance numérique des entreprises que bien distincts. Le rôle de l’infogérance est de maintenir et d’optimiser un système d’information, quand le rôle de la cybersécurité est de le protéger. Autrement dit, la cybersécurité ne va pas de soi, quand son système d’information est externalisé et géré par un tiers. Et au-delà du risque de cyberattaque ou d’exfiltration de données qui existe même quand un système d’information est externalisé et infogéré, il faut rappeler que nos chers leaders du cloud ou de la cybersécurité ne sont pas infaillibles, loin de là. C’est Google qui a supprimé par erreur l’abonnement d’un fonds de pension australien au printemps 2024, avec pour conséquence une indisponibilité de deux semaines. Tout le monde se souvient d’une « panne mondiale » impactant cet été une grande partie de la planète, après une « simple mise à jour » d’un agent EDR sur les environnements Windows. Et en cette fin d’été, c’est un des leaders du firewalling qui annonce qu’un pirate a volé 440 Go de données sur un serveur SharePoint ! Autant de faits qui doivent inciter toutes les organisations à considérer séparément les sujets infogérance/externalisation et le sujet cybersécurité !
La sous-estimation du risque reste un souci prioritaire du côté des TPE et PME.
Le dernier baromètre France Num sur le numérique dans les TPE et PME, paru en septembre 2024, donne quelques pistes sur le sujet. La majorité des TPE PME a certes déployé des mesures de protection, mais près d’une sur deux (49%) craint de se faire pirater ses données. Et les mesures prises principalement restent l’installation d’un antivirus (96%) et la sauvegarde des données à l’extérieur (81%), sans précision sur la technologie antivirus utilisée, alors que l’EDR managé s’impose désormais. Plus inquiétant encore, seulement 41% des TPE et PME auraient engagé des programmes de sensibilisation des salariés, un peu plus du tiers (38%) auraient mis en œuvre des mécanismes MFA et moins du tiers (31%) auraient nommé un référent cybersécurité.
Le constat du professionnel est encore plus cruel. Quasiment chaque audit technique réalisé par nos consultants indique des actions urgentes (voire urgentissimes) à mettre en œuvre ! Et ce constat concerne tant les industries, entreprises de négoce ou de services, que les collectivités territoriales.
Le marketing de la peur est un mauvais marketing.
La cybersécurité est à considérer comme un investissement créateur de confiance et de valeur pour l’entreprise et ses salariés. Mais force est de constater que beaucoup de dirigeants n’ont pas encore intégré la probabilité élevée de l’incident cyber dans leur stratégie. Comment les sensibiliser autrement que par la peur ? C’est une bonne question.
Les diagnostics cybersécurité devraient être une obligation
A considérer par chaque dirigeant, au même titre que l’obligation de sauvegarde. La préparation d’un plan de réponse à incident devrait s’envisager même dans les TPE. Et leur surface d’exposition, liée à leurs nombreux applicatifs, à leur visibilité, devrait inciter les collectivités à la même préparation.
Conclusion de cet article ?
Au moment de terminer cet article, il me revient cette citation, de Philippe Richard, parue dans Techniques de l’Ingénieur, Comment réagir en cas de cyberattaque :
« Ce sont les entreprises qui sont faibles, pas les attaquants qui sont extrêmement forts. »
La sérénité cyber des JO et JOP est bien le résultat d’une anticipation conséquente du risque. Cette anticipation devrait être le fil conducteur de toute stratégie cybersécurité. Agir maintenant plutôt que réagir tant bien que mal, en faisant au pire moment les constats des dégâts pour savoir comment s’en sortir.
En complément de cette anticipation, le rôle de la gouvernance cybersécurité s’affirme comme indispensable, à la fois au quotidien, comme sur la durée. Toute stratégie d’entreprise doit intégrer une stratégie cyber résilience, sur un temps long !
Et pour décider et agir, tout dirigeant doit intégrer une notion forte : son organisation est concernée par le risque cyber, quelle que soit la nature de son système d’information, quelle que soit son activité.