La 11ème édition du Cybermoi/s, ou mois européen de la cybersécurité, se déroule en octobre 2023. Il s'agit de mieux sensibiliser particuliers et professionnels face aux risques cybercriminels.
Phishing, virus, cyberattaques... La menace cybercriminelle est aujours multiforme et nous concerne tous. Malheureusement, les victimes sont de plus en plus nombreuses. « Il y a un manque de prise de conscience face à la cybermenace », estime Jérôme Notin, Directeur Général de la plateforme d'alerte Cybermalveillance.gouv.fr. Le Cybermoi/s est une opération de sensibilisation qui va durer un mois dans toute l’Europe pour inciter les particuliers et les petites entreprises à mieux se prémunir contre les cyberattaques en tout genre. Une campagne importante aura lieu sur les réseaux sociaux avec la diffusion de vignettes accompagnée du hashtag #cyberresponsable. Pour les professionnels, une charte de huit engagements est disponible, indiquant les premières mesures de sécurité à adopter. Par exemple, il est recommandé aux structures, même petites, de nommer un référent en cybersécurité qui pourra aider les employés en cas de doute sur des questions de sécurité informatique.
Monde Numérique :
Nous sommes tous des victimes potentielles des pirates informatiques. Aujourd'hui, le cyber piratage prend de très nombreuses formes, on le sait. Alors ce mois-ci, octobre 2023, c'est le cyber mois, une nouvelle édition du mois de la cybersécurité lancée par les instances européennes spécialisées dans la cyber sécurité. Ça nous concerne tous, particuliers, petites entreprises, collectivités locales, etc. On en parle avec le directeur de la plateforme gouvernementale cybermalveillance.gouv.fr Jérôme Notin. Pouvez-vous nous rappeler exactement ce qu'est le cybermoi/s ?
Jérôme Notin :
Le Cybermoi/s est une initiative qui a aujourd'hui onze ans. Historiquement, ça a été lancé par l'ENISA qui est l'Agence européenne de sécurité des systèmes d'information. Et puis chaque pays, à travers son autorité nationale, délégation pour organiser des actions pour sensibiliser les publics. En général, on pense au grand public. L'année dernière, nous avons eu le privilège avec l'ANSSI de co-piloter cette action, le cybermoi/s européen de la cybersécurité, et cette année, notre dispositif, parce que nous sommes orientés plutôt petite victime, c'est à dire les particuliers, plutôt les TPE, PME, plutôt les petites collectivités. Donc nous avons pris le pouvoir, si je puis dire, sur l'organisation du mois européen cyber sécurité. Donc, nous avons réuni un collectif avec les membres du Groupement d'intérêt public, mais pas que. Donc un collectif qui a vocation à travailler, qui a travaillé ensemble pour faire que pendant ce mois européen de la cybersécurité, on sorte un petit peu de notre sphère et notre écosystème de cyber, et qu'on aille à la rencontre des publics qui, pour certains, n'ont pas encore saisi tous les enjeux de cybersécurité.
Monde Numérique :
Vous pensez qu'on sous-estime la menace aussi bien du côté des particuliers que des petites entreprises ?
Jérôme Notin :
Je pense qu'effectivement un manque de prise de conscience. On est tous utilisateurs, que ce soit à titre personnel ou à titre professionnel, d'outils numériques. Et on n'a pas forcément alors nous. Mais un utilisateur classique n'a pas forcément conscience que, en utilisant un outil numérique, s'il ne prend pas certaines mesures et l'idée n'est pas de monter d'efforts Nox numériques ou d'être extrêmement paranoïaque, mais s’il ne prend pas certaines mesures de base, eh bien il peut se mettre en danger sur internet si on prend toujours un petit peu dangereux. Mais si on prend l'image de la sécurité routière aujourd'hui, on sait que quand on prend son véhicule, on doit être à jeun, on doit mettre sa ceinture de sécurité, on doit respecter la signalisation. Donc malheureusement encore beaucoup trop de personnes à titre privé, mais à titre professionnel également, n'ont pas conscience qu’il faut, quand on nous propose des mises à jour, faire les mises à jour, quand on a des données qui sont assez sensibles, les sauvegarder, déconnecter les sauvegardes de son réseau pour que si jamais on est victime par exemple de rançongiciel, on sait que c'est une menace depuis de nombreuses années qui adresse les collectivités et les entreprises. Donc c'est une vraie menace qui a du sens parce qu'elle peut bloquer vraiment l'activité de la structure si on a une sauvegarde déconnectée pas trop ancienne, et bien si on est victime de Rançongiciel, on va pouvoir réinstaller un système d'information propre Une fois qu'on aura conservé les preuves pour le dépôt de plainte et une fois qu'on aura possiblement identifié le vecteur de compromission, c'est à dire comment les cybercriminels sont rentrés. Donc on va pouvoir installer un système d'information propre et réinstaller ces sauvegardes. Je n’espère Pas trop ancienne.
Monde Numérique :
Malgré tout, on voit que les incidents se multiplient et les victimes sont toujours plus nombreuses, entreprises ou particuliers. Est-ce que quand on est victime d'un chantage ou d'un vol de données, d'une usurpation de de mot de passe et ensuite de vol d'argent, qu'est-ce qu'on peut faire alors ? On n'a plus que ses yeux pour pleurer en fait.
Jérôme Notin :
Alors la première des choses, c'est qu'on va sur cybermalveillance.gouv.fr. Donc là on va pouvoir, soit, si on a été, si on a su qualifier la menace et à travers des recherches dans les navigateurs des moteurs de recherche, pouvoir qualifier. Et normalement on a un article qui correspond à cette menace ou on offre la possibilité aux victimes, particuliers, entreprises ou collectivités de faire ce qu'on appelle un parcours d'assistance.
Monde Numérique :
C'est-à-dire qu'on va lui poser quelques questions, on va qualifier la menace et on va lui donner les conseils. Donc ces conseils peuvent aller jusqu'à potentiellement une mise en relation avec des prestataires de proximité. Nous avons 1200 prestataires de proximité sur le territoire national, dont certains sont labellisés. On a également créé un label et donc voilà, quand c'est une remédiation qui est considérée comme technique, il y a les premiers conseils en première intention et puis la possibilité d'être mis en relation avec un prestataire. J'évoquais tout à l'heure l'intérêt du dépôt de plainte. Il est aussi fondamental pour ne. Citoyen de déposer plainte parce que plus les services d'enquête disposeront de plaintes et donc d'éléments techniques, plus ils auront une capacité d'identification des auteurs et donc de faire possiblement cesser les infractions.
Monde Numérique :
Alors on voit que de plus en plus des hôpitaux ou des collectivités locales aussi des mairies sont attaqués. Pour quelle raison ?
Jérôme Notin :
Les collectivités locales sont la cible des cyber criminels. On a souvent des questions d'élus, des collectivités de jazz ou autres qui nous disent mais pourquoi ils nous attaquent Nous ? On n'a pas d'argent. On sait que les collectivités n'ont pas forcément beaucoup d'argent, on sait qu'elles ne peuvent pas et c'est tant mieux, payer des rançons si par exemple on est victime de rançongiciel. Mais on sait également que les cybercriminels le savent également, que les collectivités disposent des données des administrés. C'est une richesse et une mine d'informations. C'est de l'or pour ces gens-là. Ils vont collecter, s'ils ont compromis un système d'information d'une collectivité petite ou grande, ils vont collecter le nom, le prénom, la date de naissance et éventuellement le numéro de sécu, et éventuellement le code familial, l'adresse mail, éventuellement les coordonnées bancaires. Donc voilà beaucoup d'informations qui ensuite vont être revendues à d'autres groupes cybercriminels pour faire des attaques très personnalisées, pour ne pas dire ciblées, mais en tout cas très personnalisées auprès de ces victimes et qui vont beaucoup plus facilement tomber dans le panneau et là, pour le coup, répondent favorablement à un appel téléphonique d'un faux conseiller bancaire. Cliquer sur un lien très personnalisé qui va envoyer sur une page qui contient des infos où ils vont enrichir d'autres informations. Donc c'est toujours très incrémental tout ça. Donc voilà, la donnée détenue par la collectivité, elle a beaucoup de valeur pour être vendue ensuite à d'autres groupes de cyber criminels.
Monde Numérique :
Avant, le risque était surtout d'attraper un virus qui allait bloquer notre ordinateur. Aujourd'hui, on voit se multiplier des attaques qui sont plus humaines et ça passe par le spam téléphonique, les SMS et même les appels téléphoniques avec des "vrais gens" au bout du fil. Comment lutter contre ça ?
Jérôme Notin :
Effectivement, on a coutume de dire que la mère de bouquets d'attaques, c'est L'hameçonnage c'est on va vous inviter à faire une action pour que vous tombiez dans le panneau et que vous délivriez des informations. L'hameçonnage, Il y en avait relativement peu il y a encore quelques années. Là, c'est la première menace pour l'ensemble de nos publics, que ce soient les particuliers, les entreprises ou les collectivités. En tout cas, c'est ce pourquoi les gens viennent chercher de l'assistance chez nous, parce qu'on l'a dit. C'est quelque chose qui va leur permettre d'avoir des éléments très personnalisés. Et si moi je vous appelle, je vous le dis, vous êtes Jérôme Colombain, vous êtes né. Est-ce que vous êtes bien né là ? Est-ce que votre numéro de carte bleue de compte bancaire, c'est bien celui-ci ? Est-ce que votre numéro de carte bancaire, c'est bien celui-ci ? Il y a de fortes chances que vous répondiez oui et que vous soyez en confiance. Par contre, en deuxième intention, je vais vous dire Oh mon pauvre Monsieur Colombain, vous êtes victime d'une fraude en ce moment sur votre compte. Je vais vous envoyer des codes, vous allez me les donner. On va annuler toute cette opération, toutes ces opérations et comme ça vous serez remboursé par nous, la banque, puisque bien évidemment je me présente comme le service fraude. Donc voilà, il y a un niveau, il y a une première phase de collecte d'informations qui peut être automatisée, et ensuite, comme on va faire de beaucoup de victimes avec un taux de réussite important parce qu'on aura cette information qui va mettre en confiance la victime, et bien ça vaut le coup d'avoir cette activité. Si je peux me permettre, si on a été vraiment sur un point de vue financier, ça vaut le coup d'avoir cette activité cybercriminelle parce qu'on peut générer quand même beaucoup, beaucoup de revenus.
Monde Numérique : Alors est ce qu'on peut malgré tout rester optimiste et espérer faire baisser cette cyber menace Jérôme Notin ?
Jérôme Notin : On peut faire baisser cette cyber menace, ça ne coûte pas cher, Ça a quelques bonnes pratiques au sein des structures, ça coûte un petit peu d'argent en faisant appel à un prestataire qui va sécuriser le système d'information, on peut dire qu'il y a nos amis britanniques. Moi j'adore leur approche qui ont une doctrine qui s'appelle Active Cyber Defense. L'idée, c'est de dire nous, collectivement, au niveau britannique, on doit être un petit peu meilleurs que les autres parce que les cybercriminels, ce sont des gens feignants. Et si les Britanniques sont bien sécurisés, les cyber criminels iront attaquer d'autres pays. Et je pense que quand on est alors à titre particulier, c'est un petit peu plus compliqué. Mais quand on est un chef d'entreprise ou un responsable dans une collectivité, on doit avoir cette démarche. L'idée, c'est d'être vraiment un tout petit peu meilleur que les autres et de résister aux attaques parce que c'est de la pêche au chalut en général et que donc c'est relativement facile de s'en protéger si on a respecté les bonnes pratiques. Par exemple, on a adhéré à la charte qu'on propose en ce mois d'octobre 2023, donc qui est une sorte de guide pour justement faire qu'on soit un peu mieux protégé.
Monde Numérique : Et donc je pense que ça peut apparaître comme égoïste. Mais si collectivement. On fait tout cela ? Eh bien, si Jérôme C, est mieux protégé que Jérôme N le lundi et que le mardi, Jérôme N c'est des temps plus longs, même si on est en cyber, Mais vous voyez l’idée ? Jérôme N. Ensuite va devoir se protéger et incrémentalement on va mieux être protégé en étant mieux protégé. On va augmenter la difficulté auprès des cybercriminels s'ils veulent vraiment nous attaquer. Et quand on augmente la difficulté, il y a plus de chance de faire des erreurs. Et donc quand ils font des erreurs, on peut plus facilement les identifier et les interpeller.
Monde Numérique : Alors, à l'occasion de ce cyber mois d'octobre 2023, vous lancez un certain nombre d'initiatives. Jérôme Notin cybermalveillance.gouv.fr. Quelles sont-elles ?
Jérôme Notin : Alors, ça commence par, par exemple sur notre plateforme, le référencement de différents événements qui peuvent avoir lieu à Paris mais surtout en province, qui sont ouverts au public et qui permettent justement de faire qu'on puisse aller à la rencontre des gens qui parlent cybersécurité. Le 2 octobre, nous avons une action coup de poing sur les réseaux sociaux. Il y a différentes vignettes qui peuvent être récupérées et qui ensuite peuvent être diffusées sur les réseaux sociaux. Un peu pour forcer les algorithmes de ces réseaux sociaux à faire que les moi, enfin, Le hashtag #cyberresponsable en fait apparaisse au niveau du maximum de pages. Et puis plutôt à destination des professionnels. Nous avons une charte de huit engagements qui est disponible et qui permet pour un patron d'entreprise, pour un élu dans une collectivité, de comprendre en fait quelles sont les premières mesures à mettre en place. Là, je parle plus aux gens qui ont compris, qui auront compris qu'il y a un vrai intérêt à se sécuriser, mais qui ne savent pas comment forcément faire. Moi j'ai un exemple que j'aime beaucoup, c'est dans la structure nommer un référent cybersécurité. On sait que les petites structures ont très rarement des DSI, donc sans parler de chaîne de cybersécurité donc. Par contre, il peut y avoir dans la structure publique privée une personne un peu geek qui est un peu meilleure, en tout cas plus d'appétence à aborder ces sujets d'informatique au sens large et en particulier de cybersécurité. Et donc si on nomme une personne référente au sein de sa structure, et bien quand un agent d'une collectivité, quand un collaborateur d'une entreprise a un doute sur un email, a un doute sur le comportement de sa machine, eh bien elle pourrait aller voir cette personne, donc le référent, lui poser les questions et assez naturellement voir si effectivement il y a un problème.
Monde Numérique : Et on peut aussi bien sûr aller sûr cybermalveillance.gouv.fr, la plateforme que vous dirigez. Jérôme Notin Merci beaucoup.