Numérique et Cyber-insécurité:

entre laxisme et irresponsabilité.

Social: Proposé par éditeur actualisé le 25 nov. 2019. Ecouter la version audio de l'article.

Il faut cesser de considérer les cyber-risques comme inexorables, inévitables et qu’il est temps d’envisager que la contamination d'un PC, puis d’un réseau tout entier, soit dû au comportement fautif de l'utilisateur, souvent, toujours, le maillon faible de la chaine de sécurité.

Déjà signalé ici, et ainsi qu’il est possible de le lire dans cet article de theverge à propos du lancement de Google Stadia en novembre 2019,

Malgré le charme et l'amélioration de la manette de jeux, le service de jeu en nuage de Google est loin de ce que la société avait promis en mars. C'est effectivement une version bêta pour laquelle Google facture de l'argent comptant, $129 et vous devrez attendre jusqu'en 2020 pour que cela change.

les logiciels, à leurs sorties sont imparfaits ou mal aboutis, renferment de multiples failles de sécurité dont la correction dépend de la bonne volonté des éditeurs, comme vous pouvez le voir dans l'alerte de sécurité du CERT-FR ci-dessous.

Telle est la triste et réelle situation que l’industrie du logiciel propose aux entreprises. Ces malfaçons n’avaient que peu d’importances au temps de l’informatique non-connecté, avant Internet. Aujourd’hui, le monde du numérique doit faire face à de multiples menaces de sécurité auxquelles il est encore possible de répondre efficacement en menant une vraie politique de prévention des risques numériques comme l’entreprise à l’obligation de le faire en matière de santé et de sécurité au travail.

Si la formation est nécessaire et constitue une étape de la prévention des cyber-risques il faut développer une politique complète de protection des données en combinant :

• La mise en place d'une politique rigoureuse de contrôle des points d’accès à Internet;
• L’autorisation d’accès à Internet limitée aux sites nécessaires et utiles à l'entreprise;
• La gestion des droits d’accès aux postes de travail et aux dossiers partagés sur l’intranet;
• La journalisation des navigations des internautes avec horodatage des connexions;
• La responsabilisation des utilisateurs afin de prévenir les infections
• La recherche du point d'entrée du virus lors d'une infection virale pour repérer les points faibles et les défaillances
• Bannir le BYOD, potentielle porte d’entrée de virus et de sortie sans contrôle de données.
• Et bien d'autres mesures encore...

La confiance n’est pas tout !

Organiser des inspections régulières des PC non seulement à des fins de prévention mais aussi pour détecter les usages inappropriés des matériels et logiciels ou d'Internet qui sont, potentiellement, des vecteurs de contamination.

La foudre ne tombe pas par hasard sur un paratonnerre, elle y est attirée. Ici, le paratonnerre, c'est le comportement du salarié.

Le comportement irresponsable d'un seul salarié peut avoir des incidences multiples sur la vie ou la survie de l’entreprise, comme l'arrêt de production, la perte de données financières interdisant l’émission et l’envoi de factures ou le suivi des règlements clients épuisant ainsi la trésorerie de l’entreprise et ne lui permettant plus d'honorer ses propres factures, la divulgation de données confidentielles ou à caractère personnel. Sans compter les coûts liés au remplacement des matériels et logiciels ou les frais de redémarrage.

A condition d’avoir une politique de sensibilisation des salariés pour assurer la sécurité numérique de l’entreprise, il pourra être envisagé, en tirant les conséquences du comportement fautif d'un salarié, une sanction disciplinaire, à quantifier selon l'importance de la faute et des incidences sur la vie de l'entreprise.

Cela fait, aussi, partie de la réflexion générale à mener dans la lutte contre les cyber-risques, menaces grandissantes avec l'évolution de la dématérialisation et de l'usage croissant du Cloud.

Une première mesure d’urgence

Dans les TPE/PME n'utilisant pas de logiciel de type SAAS, il est possible de ne permettre l'accès à Internet et aux messageries externes que depuis un seul poste dans l'entreprise, isolé en cas de réseau interne (intranet).

Commentaire : Internet est utile, mais pas indispensable 24 h/24, 7 j/7. Plutôt que de se laisser dominer par l'outil apprenons à le maîtriser.

Mise à jour du 12 janvier 2020: Le délai mis par les éditeurs de logiciels pour supprimer des failles de sécurité est la démonstration que la sécurité de nos données n’est pas leur première préoccupation. Google en fait la démonstration en mettant plus de 2 mois, 65 jours pour être précis et qui, pourtant, n’est pas la moindre des compagnies, c’est l’une des GAFAM. La cause d’un tel délai pourrait en être la difficulté à concilier la collecte des données pour leur réutilisation et les supposées sécurité et confidentialité promises par l’éditeur et qu’il devrait intrinsèquement apporter.

Lien utile: Vous pourriez vous rendre sur le MOOC de l’ANSSI pour vous initier à la cyber sécurité, approfondir vos connaissances, et ainsi agir efficacement sur la protection de vos outils numériques. Ce dispositif est accessible gratuitement jusqu’au mois d’avril 2021