Carte blanche
Cybersécurité: la défense ou l’attaque?
Les débuts d’années sont toujours un bon moment pour les bilans et perspectives : comment s’est déroulé l’année passée et que nous réserve celle qui commence ? En quelque sorte, 2021 a provoqué un déclic pour la sécurité informatique : avec l’émergence du travail hybride, les entreprises ont enfin renforcé leurs politiques de cybersécurité. Malgré cela, les menaces liées à Log4Shell ont clairement terni le tableau en fin d’année… Pas de repos pour les braves dans la cybersécurité : ce fut le cas en 2021, 2022 démarre sur la même lancée.
2021 a encore été un grand cru pour les hackers. Pour commencer, nous avons continué à cliquer sur les e-mails de phishing, comme l’indique le rapport annuel de Phished. Ensuite, les ransomwares ont de nouveau augmenté, malgré le déploiement d’Emotet par Europol en janvier. Autre fait nuisible de 2021 : les SMS malveillants, souvent perpétrés par le virus FluBot. Ce dernier donne accès à votre téléphone et donc aussi à votre application bancaire mobile. A un niveau encore supérieur, des attaques ont été commises via des logiciels de fournisseurs de services tels que SolarWinds et Kaseya.
Par ailleurs, les médias n’ont jamais autant écrit sur les nombreuses attaques qui ont été menées au cours de l’année, entre autres, par des groupes de hackers tels que REvil, Hafnium, Conti et Hive. Le paiement ou non des rançongiciels fait également de plus en plus débat. Depuis décembre, les rançons sont désormais autorisées en tant que dépense professionnelle. Paradoxalement, la sensibilisation du public à la cybersécurité n’a pas suivi la même courbe que le nombre d’attaques.
Une bonne sécurité en Belgique, mais peu de sensibilisation
C’est un fait, il est impossible de se protéger complètement contre toutes les attaques à échelle mondiale telles que Log4Shell. Mais cela ne veut pas dire qu’il ne faut pas renforcer ses défenses. Neuf cyberattaques sur dix ne visent pas l’entreprise elle-même, mais ses employés directement. Il faut dire que l’aide qu’ils reçoivent n’est pas toujours optimale.
Dans une enquête menée par Cisco en Europe du Nord et publiée à l’automne dernier, la Belgique avait obtenu un score particulièrement faible en ce qui concerne la formation à la sécurité. Au cours des 18 premiers mois de la pandémie, seulement 55 % des employés avaient reçu une formation en cybersécurité. Soit 7 % de moins que la moyenne européenne. Encore plus effrayant, un employé belge sur quatre n’a jamais reçu de formation à la sécurité ; seulement un ou cinq a reçu une telle formation au cours des six derniers mois.
Néanmoins, 6 Belges sur 10 semblent respecter les règles de sécurité de leur employeur. Pourtant, 40 % d’entre eux désactivent consciemment leur pare-feu. À cet égard, nous obtenons un “meilleur” score que la majorité des autres pays d’Europe du Nord participants à l’étude. Par contre, être moins mauvais que nos camarades ne veut pas dire que nous faisons les choses bien. Le travail hybride devenant une norme, il y a tout de même encore de l’espoir.
Défendre ou sévir ?
Le prestataire de services de sécurité franco-belge Agoria veut rendre la cyber-assurance obligatoire. La société a récemment plaidé en faveur d’une cyber-autorité en charge de la surveillance des mesures de sécurité. Au niveau européen, il y a eu débat en 2021 sur la directive NIS-2. Celle-ci oblige les organisations à respecter des mesures de base, dont l’obligation de déclarer tous les incidents sous peine d’amendes. Ce ne sera tout de même pas pour tout de suite : la directive n’entrera en vigueur qu’en 2024.
Se protéger ou condamner, là n’est finalement pas la question. La force de la cybersécurité dépendra toujours de son maillon le plus faible. Malheureusement, ce maillon est toujours le facteur humain. C’est pourquoi il faut absolument mettre l’accent sur la coresponsabilité et sensibiliser les utilisateurs avec des formations. Et les fabricants, ainsi que les employeurs, doivent s’assurer que les utilisateurs peuvent avoir facilement accès à une bonne cybersécurité. Et oui, la nouvelle année qui commence maintenant ne sera pas exemptée d’incidents.
Steven De Ruyver, expert en cybersécurité chez Cisco.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici