Cybersécurité : comment mieux anticiper et réagir
En 2021, plus de 34 % des rançongiciels visaient des petites et moyennes entreprises ou des entreprises de taille intermédiaire selon l’ANSSI. Les acteurs économiques prennent ainsi progressivement conscience de la nécessité de se former à la cybersécurité. Exemple à l’occasion d’une journée spéciale au Google Atelier Numérique de Rennes.
6 minutes de lecture
Voilà 4 ans que Benoît Croguennec, gendarme de profession, s’est lancé dans une nouvelle aventure. Depuis l’obtention en 2020 de son diplôme universitaire en cyberdéfense, il conseille désormais les entreprises et collectivités en matière de sûreté bâtimentaire et les sensibilise à la lutte contre la cyberdélinquance. Benoît Croguennec est devenu référent sûreté de la Gendarmerie nationale, autrement dit un super conseiller en matière de protection des données en ligne. « Le métier existe depuis 2010 et nous avons développé notre activité de conseil vers ce qui nous préoccupe le plus : la sécurité économique des entreprises et collectivités », explique-t-il autour d’un café matinal, avant de prendre la parole. « La question que les entreprises et collectivités doivent désormais se poser n’est plus “Est-ce que je vais être attaqué ?” mais “Quand est-ce que je vais être attaqué ?”. »
Benoît Croguennec, référent sûreté de la Gendarmerie Nationale: "La question que les entreprises et collectivités doivent désormais se poser n'est plus : ‘ Est-ce que je vais être attaqué ?’ mais ‘ Quand est-ce que je vais être attaqué ?’"
Le gendarme est l’un des invités de cette journée de sensibilisation aux fondamentaux de la cybersécurité, sans frais et ouverte à tous, organisée au Google Atelier Numérique de Rennes. Un « moment d’échange détendu », s’amuse ce militaire heureux d’être « accueilli avec le sourire » par des citoyens comme Cédric, chef de projet en circuit logistique. « Il a modernisé l’image du gendarme », confie ce dernier après 1 heure 30 de conférence. À 46 ans, cet expert informaticien d’une PME confrontée par le passé au piratage de son système de gestion est venu apprendre à réagir à un tel scénario. « J’ai appris qu’il ne fallait pas éteindre son ordinateur, mais l’isoler du reste du système. Autre exemple : les mots de passe de mon entreprise sont regroupés dans un Google Drive, se repent-il. J’ai compris que c’était une erreur. Je vais lister nos failles et m’atteler à un plan de sécurité dès demain. »
« Devenir conseiller en cybersécurité, même en partant de zéro »
Le dernier rapport de l’état de la cybercriminalité de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), publié en mai 2022, montre en effet qu’un peu plus de 50 % des attaques déclarées concernent les PME. « La cybersécurité est un sujet incontournable, qui peut paraître très technique de l’extérieur, surtout pour les personnes éloignées du numérique, mais chacun à son échelle peut mettre en place des actions simples pour se protéger », avance Audrey Leroy, responsable du programme Google Ateliers Numériques Bretagne, Centre-Val de Loire et Pays de la Loire. « L’un des grands sujets du début de l’année 2022, c’était la double authentification en matière de mot de passe, abonde Pierre Hello, en charge des formations “Cybersécurité pour les e-marchands” et “Cybersécurité appliquée au télétravail”. Et d’un autre côté, le mot de passe le plus utilisé dans le monde reste 123456. Nous devons sensibiliser le public ! » En une heure, le jeune homme de 28 ans livre une multitude d’outils concrets pour : sécuriser un paiement en ligne via la double authentification, renforcer ses mots de passe, créer des pare-feu, reprendre le contrôle sur ses données ou encore savoir si son adresse e-mail a fuité sur Internet. « C’est le quatrième atelier auquel j’assiste », raconte Prassaya, l’un des participants à l’atelier venu de Dinard, qui développe une calculatrice dématérialisée pour les professionnels du patrimoine. « J’aime l’écoute et l’accessibilité des coachs. Ils sont rassurants sur ce sujet anxiogène. En rentrant, je vais changer mes mots de passe… » Assise à ses côtés, Jhoselina confirme : « Les ateliers sont dynamiques. Je reviendrai me former pour devenir conseillère en cybersécurité, un poste recherché par les entreprises. J’ai compris, aujourd’hui, que c’était possible, même en partant de zéro ».
Régis Le Guennec, consultant spécialisé dans la sécurité des usages numériques: "En cybersécurité, on dit souvent que c’est la faiblesse de la victime plus que la force de l’attaquant qui est déterminante."
À la fin de la journée, elle aura appris à détecter une campagne de “phishing” (hameçonnage, ndlr), à s’assurer que son antivirus est activé, mais aussi le principe de la triple sauvegarde et l’ensemble de ce qui forme “la défense en profondeur”, tel qu’exposé l’après-midi par Régis Le Guennec, un consultant spécialisé dans la sécurité des usages numériques : « Cette technique a été créée par Vauban, un architecte militaire connu pour ses fortifications imprenables : il multipliait les lignes de défense pour retarder l’assaillant et se donner le temps de réfléchir. En cybersécurité, on dit souvent que c’est la faiblesse de la victime plus que la force de l’attaquant, qui est déterminante. Car malheureusement, un pirate, c’est comme une taupe : le mieux que l’on puisse faire, c’est lui mettre suffisamment de bâtons dans les roues pour le décourager ».
Et lorsque sonne la fin des ateliers à 17h, un aphorisme cité un peu plus tôt dans la journée résonne particulièrement. Celui du philosophe allemand Klaus Klages : « La plupart des problèmes informatiques se trouvent entre le clavier et la chaise ». Loin d’être une question d’ordre purement technique, la cybersécurité reste en effet avant tout un enjeu profondément humain, tant par les connaissances qu’elle suppose que par les conséquences qu’elle induit.
