Cyber sécurité : vers une pro­tec­tion optimale du Web

L’aspect vaste du sujet et le niveau de risque, en par­ti­cu­lier avec l’aug­men­ta­tion quo­ti­dienne des pos­si­bi­li­tés nu­mé­riques, nous montre déjà à quel point les questions de cyber sécurité sont im­por­tantes. C’est la raison pour laquelle il est essentiel de se rendre compte de la quantité de données que l’on utilise quo­ti­dien­ne­ment sur les or­di­na­teurs, les tablettes ou les smart­phones, de combien de comptes on dispose pour dif­fé­rentes ap­pli­ca­tions, des pla­te­formes que l’on fréquente sur Internet, et du nombre de cartes de crédit et de données bancaires ou sensibles que l’on utilise au quotidien. Chacune de ces données est en effet dis­po­nible et fa­ci­le­ment ac­ces­sible aux cy­ber­cri­mi­nels qui peuvent les utiliser à des fins mal­veil­lantes et pour servir leurs propres intérêts. La plupart des con­som­ma­teurs auront en effet affaire, au moins une fois dans leur vie, à une uti­li­sa­tion détournée de leur carte de crédit. Mais ne pas prendre les pré­cau­tions né­ces­saires permet des délits ayant des con­sé­quences bien plus im­por­tantes.

Pour empêcher la cy­ber­cri­mi­na­lité envers soi-même, ses proches, ou même une en­tre­prise, mais également pour bé­né­fi­cier de l’ac­com­pag­ne­ment ju­ri­diques réservé aux victimes, il est important de sa fa­mi­lia­ri­ser en détail avec le projet, et de s’informer sur les outils né­ces­saires à la sécurité numérique.

Hors ligne, des objets simples, tels qu’un porte-cartes bien attaché, per­met­tent d’empêcher le vol des données per­son­nelles. C’est donc un moyen de blocage efficace qui permet de limiter, voire d’empêcher l’accès des aux in­for­ma­tions bancaires ou aux données sensibles.

Un blocage de ce type existe également pour les systèmes in­for­ma­tiques. L’une des re­com­man­da­tions les plus im­por­tantes con­cer­nant la sécurité sur Internet est quelque chose qui ennuie encore aujourd’hui un grand nombre d’uti­li­sa­teurs : des mots de passe sécurisés. Ils sont certes longs, peu pratiques et dif­fi­ciles à retenir, mais ils pré­sen­tent une haute ef­fi­ca­cité en termes de sécurité de base, qu’il s’agisse de vous protéger contre une personne qui essaie d’accéder il­lé­ga­le­ment à votre or­di­na­teur et ne peut pas rentrer le mot de passe correct, ou d’un hackeur qui tente de pirater l’un de vos comptes sur Internet.

Néanmoins, pour une pro­tec­tion de base complète, il est né­ces­saire d’avoir recours à d’autres outils de cyber sécurité qui devraient faire partie de l’équi­pe­ment standard de chaque uti­li­sa­teur. Un pare-feu, par exemple, est in­dis­pen­sable. Il peut être installé sur l’or­di­na­teur ou sur le routeur, mais doit être utilisé dans tous les cas. Un pare-feu empêche les accès non autorisés à votre or­di­na­teur ou à votre réseau. Les pa­ra­mètres per­met­tent de con­fi­gu­rer qui peut accéder à Internet depuis le réseau, et qui peut accéder au réseau depuis Internet.

Un pare-feu est par­ti­cu­liè­re­ment efficace lorsqu’il est utilisé en com­bi­nai­son avec un programme antivirus, qui permet non seulement de détecter les virus, les malwares et les trojans, mais également de les supprimer im­mé­dia­te­ment. Des vé­ri­fi­ca­tions de sécurité ré­gu­lières sont in­dis­pen­sables et doivent faire partie de la routine régulière pour assurer une sécurité numérique optimale.

Dans la mesure où chacun peut être la cible d’attaques, il ne faut pas perdre de vue la situation globale. Les par­ti­cu­liers, les en­tre­prises, les in­dus­tries, les ad­mi­nis­tra­tions ou les gou­ver­ne­ments sont autant de cibles po­ten­tielles pour la cy­ber­cri­mi­na­lité, ou en ont déjà été victimes.

Le nombre d’attaques complexe a con­si­dé­ra­ble­ment augmenté ces dernières années, et l’on assiste à une pro­fes­sion­na­li­sa­tion de ces opé­ra­tions. Souvent, il est im­pos­sible de prendre des mesures dé­fen­sives ou de garder la trace des attaques, en raison des pro­grammes très dé­ve­lop­pés qui sont utilisés. À ceci s’ajoute le fait que les cy­ber­cri­mi­nels passent à l’attaque dans le monde entier, puisqu’Internet ne connait pas de fron­tières. La connexion des dif­fé­rents appareils entre eux rend les attaques encore plus faciles, et il semble que les états, les économies et les sociétés soient touchées de la même façon par des failles in­for­ma­tiques ac­ci­den­telles ou or­ches­trées.

La SSI a adopté en 2011 une stratégie nationale pour la sécurité du numérique afin de garantir un maximum de cyber sécurité en France. Ce document a pour ambition de faire pro­gres­ser la lutte en matière de cyber sécurité en France. Il se divise en cinq points es­sen­tiels. Le premier objectif consiste à garantir la sécurité nationale : il s’agit de défendre et de sécuriser les systèmes d’in­for­ma­tion de l’État et des in­fras­truc­tures critiques, mais aussi de prévoir un plan d’action en cas d’attaque majeure, notamment en dé­ve­lop­pant des relations de coo­pé­ra­tion avec des acteurs nationaux et in­ter­na­tio­naux, tant sur le plan technique que di­plo­ma­tique. Le second objectif est d’assurer la confiance numérique et la pro­tec­tion de la vie privée et des données per­son­nelles en luttant contre la cy­ber­cri­mi­na­lité, pour les par­ti­cu­liers comme pour les en­tre­prises. Cette pro­tec­tion se traduit notamment par un contrôle accru de l’uti­li­sa­tion des données per­son­nelles, et un dis­po­si­tif d’en­ca­dre­ment technique et ju­di­ciaire des victimes de cy­ber­cri­mi­na­lité. Il est également question de sen­si­bi­li­ser le public afin de lui permettre de se rendre compte des risques in­di­vi­duels encourus par chacun. Pour ce faire, le texte prévoit des for­ma­tions dans le cadre scolaire, ainsi que la formation d’experts en cyber sécurité. La quatrième objectif consiste à créer un en­vi­ron­ne­ment favorable aux en­tre­prises du numérique. Il s’agit là de soutenir l’in­ves­tis­se­ment, l’in­no­va­tion et l’export, et de créer des produits et des services nationaux disposant d’un niveau de sécurité suffisant pour jouer un rôle sig­ni­fi­ca­tif sur la scène in­ter­na­tio­nale. Enfin, il s’agit de s’engager comme l’un des garants de la cyber sécurité et de la sou­ve­rai­neté numérique avec les autres pays membres au sein de l’Europe.

Afin d’assurer la sécurité numérique de son foyer ou de son en­tre­prise, il est in­dis­pen­sable de se maintenir informé et à jour ré­gu­liè­re­ment. Outre les outils spé­ci­fiques à la cyber sécurité, on peut aussi s’appuyer sur des pratiques et des astuces qui ont fait leurs preuves pendant plusieurs années. Tout commence avec un système à jour. Qu’il s’agisse du système d’ex­ploi­ta­tion ou des ap­pli­ca­tions (que ce soit sur un or­di­na­teur de bureau ou portable, une tablette ou un smart­phone), il est important que le numéro de version soit actualisé. En effet, les anciennes versions offrent un espace non protégé pris d’assaut par les cy­ber­cri­mi­nels. Malgré la com­plexité crois­sante des menaces, les pro­grammes antivirus et les pare-feu restent des moyens de pro­tec­tion in­con­tour­nables. Les versions récentes per­met­tent d’écarter les dangers du quotidien et de prévenir les dégâts majeurs. Un bon antivirus et un pare-feu bien configuré cons­ti­tuent donc une base solide. Il est néanmoins né­ces­saire con­so­li­der la pro­tec­tion, en par­ti­cu­lier s’il s’agit d’un poste de travail ou d’une en­tre­prise. Par ailleurs, il est important de garder à l’esprit quelles données sont ac­ces­sibles à quels uti­li­sa­teurs et qui peut modifier quoi : cette étape, qui se situe en haut de la liste de priorités, est tout aussi im­por­tante que le sont l’antivirus et le pare-feu. Pour les en­tre­prises, il est important de prendre en compte le rôle de l’in­gé­nie­rie sociale. On a déjà vu en effet des exemples de cy­ber­cri­mi­nels récoltant des in­for­ma­tions con­fi­den­tielles de grandes en­tre­prises en se faisant passer pour des spé­cia­listes de l’in­for­ma­tique qui ont parfois besoin des données con­fi­den­tielles d’autres employés. Il est donc né­ces­saire d’informer les employés sur de tels dangers, et d’attirer leur attention, grâce à des for­ma­tions, sur le fait qu’il est crucial de ne com­mu­ni­quer ses données con­fi­den­tielles que dans un cadre sécurisé. Il est également in­té­res­sant, lors de ces for­ma­tions, de com­mu­ni­quer auprès des employés sur les règles qui régissent l’uti­li­sa­tion des données de l’en­tre­prise et des appareils attachés. Les iden­ti­fiants de connexion sont également des indices per­met­tant de suivre l’activité des employés, et donc de détecter des ir­ré­gu­la­ri­tés qui peuvent indiquer un piratage. Les en­tre­prises et les ins­ti­tu­tions sont également en­cou­ra­gées à consulter ré­gu­liè­re­ment le site de la SSI. On y trouve en effet des in­for­ma­tions et dif­fé­rents guides mis à jour, des outils in­té­res­sants pour améliorer sa propre cyber sécurité, que l’on soit un par­ti­cu­lier, une en­tre­prise ou une ad­mi­nis­tra­tion. Pour chacune de ces ca­té­go­ries, on trouve une liste des menaces prin­ci­pales, des pré­cau­tions élé­men­taires, des pratiques re­com­man­dées, des for­ma­tions spé­ci­fiques ainsi qu’un glossaire. Quel que soit le contexte, on comprend ra­pi­de­ment que la cyber sécurité n’est pas toujours une mince affaire. Même si l’on s’efforce de mettre en œuvre des mesures de sécurité sur Internet et l’ensemble de son en­vi­ron­ne­ment numérique, il y a toujours des fai­blesses et des failles que les cy­ber­cri­mi­nels peuvent utiliser à leur avantage. En effet, les attaques font l’objet d’un dé­ve­lop­pe­ment permanent pour mettre en place des méthodes de piratage et de vol des données de plus en plus efficaces et so­phis­ti­quées. Dans le pire des cas, il peut être question de dommages fi­nan­ciers ou per­son­nels con­si­dé­rables. Il ne faut toutefois pas se dé­cou­ra­ger : même si combattre la cy­ber­cri­mi­na­lité peut sembler un vain combat, il est important et né­ces­saire de prendre les mesures adaptées pour réduire au maximum l’impact de ces attaques, que l’on soit dans le cadre personnel ou pro­fes­sion­nel. En effet, on ne re­met­trait pas la clé de son logement à un cam­brio­leur : protéger ses données sur le cy­be­res­pace revient à prendre les mêmes pré­cau­tions élé­men­taires.