Si les cyber-attaques sont de plus en plus médiatisées, elles ne sont pas récentes. Mais chacun pouvait encore se dire que cela concernait « les autres »...
Aujourd’hui, plus de doute : nous sommes tous vulnérables, et, de fait, tous concernés !
Le Brunch du 1er février 2018, animé par Jean-Yves Marion (directeur du LORIA) et consacré à la cybersécurité a été l’occasion de donner à chacun la parole : chercheurs, entrepreneurs, représentants de l’État, prestataires de services, étudiants, victimes... Après avoir rappelé la nature protéiforme des menaces – botnet, malware, ransomware... –, et la difficulté qu’il y a à mesurer précisément l’ampleur de la situation – certaines des entreprises touchées hésitent à donner de la publicité à ce qui est encore ressenti comme négatif –, chacun s’est attaché à mettre en évidence les moyens dont nous disposons pour nous protéger.
Un consensus clair apparaît sur la démarche à suivre pour compliquer la tâche aux agresseurs potentiels. Il faut d’abord comprendre la menace, pour savoir y faire face : quels sont les points de fragilité dans mon système d’information ? Il existe ensuite quelques règles élémentaires, même si elles ne sont pas encore appliquées partout : tenir système et logiciels à jour, disposer de sauvegardes en état de marche sur des serveurs isolés, établir des procédures claires en cas d’attaque. Ces éléments de base, Michel Rochelet (délégué Grand-Est de l’ANSSI) les a rappelés et illustrés, en s’appuyant sur les recommandations de l’agence à laquelle il appartient.
Cela a été l’occasion pour Laurent Werner (président de CYBER-DETECT) de rappeler que si une entreprise comme la sienne propose de nouvelles pistes pour renforcer l’identification des menaces, la mobilisation de tous est un préalable incontournable. Car la réponse ne peut pas être uniquement technique : il faut également intégrer les comportements individuels comme étant une composante à part entière de la cybersécurité. Et cela nécessite une approche pédagogique : chaque personne consciente du danger doit se faire « messager ». Les aspects juridiques de la question sont également à prendre en compte, comme l’a souligné Lucie Cluzel (professeur de droit, laboratoire IRENEE), dans un contexte dans lequel les réponses juridiques semblent parfois inadaptées à la situation.
Était présent également un chef d’entreprise, victime d’une attaque en 2013, et qui a accepté de témoigner. Le sujet était alors sensiblement moins médiatisé. M. Bestron (président d’INSMATEL) a rappelé comment, un vendredi soir, le système de son entreprise est tombé. Et comment il s’est retrouvé seul, personne ne semblant en capacité de lui apporter de réponses. Visiblement encore sous le choc, presque 5 ans plus tard, il illustre bien comment ces attaques peuvent à la fois être une épreuve délicate pour les entreprises – toutes ne survivent pas à une attaque –, mais aussi pour les hommes et femmes qui y travaillent, qui restent longtemps marqués.
Depuis 2013, les réponses se sont organisées, comme en témoignent la présence de représentants du Ministère de l’intérieur, de la Gendarmerie nationale, de la zone de défense de Nancy. Mais aucun système n’est à l’abri. Il est même probable qu’avec l’accroissement notable des objets connectés qui nous entourent, autant dans nos vies privées que professionnelle, la menace s’accroisse encore. Ce qui doit inciter à la fois à une mobilisation forte autant des chercheurs que des professionnels, mais également de chaque utilisateur !
Pour tout renseignement complémentaire ou recevoir le calendrier des prochains Brunchs, envoyez un e-mail à l'adresse suivante : lebrunch-contact@univ-lorraine.fr
Article rédigé par Thierry DAUNOIS, Référent "Numérique" au sein de la Direction des Partenariats.
Dessins réalisés par Catherine CRÉHANGE, Illustratrice de propos. Photos prises par Morgane STEFAN, Assistante Brunch