Le mois de la cybersécurité placé sous le signe du RGPD
A l'occasion du mois européen de la cybersécurité, l'Agence nationale pour la sécurité des systèmes d'information (ANSSI) multiplie les initiatives pour aider particuliers et petites organisations à adopter les bons réflexes face aux cybermenaces.
L'entrée en vigueur en mai dernier du règlement général sur la protection des données (RGPD) et de la directive européenne Network and Information System Security (NIS) donnent une résonnance particulière à ce mois européen de la cybersécurité. Ces nouveaux textes obligent en effet les gestionnaires de "services essentiels" (énergie, transports, police…) à signaler les cyberattaques dont ils sont victimes à l'ANSSI et toutes les organisations à notifier les fuites de données personnelles à la Cnil. Avec, dans ce dernier cas, la menace de sanctions financières très lourdes si l'organisation n'a pris aucune mesure pour protéger les données personnelles dont elle a la charge.
Un clausier type sur la cybersécurité
Souhaitant élargir son audience sur ce sujet aride, l'ANSSI a modifié son approche. Les référentiels, à l'instar du référentiel général de sécurité (RGS) que doivent respecter les administrations, guides et normes techniques, restent en effet peu lisibles. Et à l'heure de la mobilité et du tout connecté, la cybersécurité exige une approche systémique intégrant le facteur humain qui reste souvent le maillon faible des dispositifs de sécurité. L'accent est donc désormais mis sur la pédagogie (vidéo, infographies…) et sur la diffusion des bonnes pratiques. L'édition 2018 du mois de la cybersécurité a ainsi été l'occasion de lancer divers outils. Ce site du ministère de l'Econome permet ainsi de vérifier la fiabilité du nom de domaine associé à une adresse mail ou un site internet pour limiter les risques de hameçonnage. Bercy a également publié un cahier des clauses simplifiées de cybersécurité pour aider entreprises et administrations à rédiger leurs marchés.
La plateforme cybermalveillance.gouv très sollicitée
Ces ressources s'ajoutent à cybermalveillance.gouv.fr, lancé il y a un an. Le site propose des conseils très pratiques sur la gestion des mots de passe, la séparation des usages personnels et professionnels ou encore les bons réflexes à avoir en cas de phishing ou de "rançongiciels". Ces derniers sont particulièrement redoutables : transmis par mail, ils cryptent l'ordinateur de la personne ayant malencontreusement cliqué sur le lien et contaminent l'ensemble des postes du réseau local. L'obtention de la clé de chiffrement est conditionnée par le paiement d'une rançon en cryptomonnaie qu'il ne faut en aucun payer. En cas d'attaque, le site cybermalveillance oriente la victime, à l'aide d'un questionnaire en ligne, vers une liste de prestataires recommandés par l' ANSSI. Depuis son lancement en octobre 2017, la plateforme a traité 22.000 cas et son kit de sensibilisation a été téléchargé 14.000 fois.
L'édition 2018 du mois de la cybersécurité est organisée autour de quatre thématiques : les bases, les métiers, les bonnes pratiques et les enjeux de demain. Elle mobilise une dizaine d'administrations et d'associations spécialisées qui proposent outils, événements et animations sur la cybersécurité. Les personnes intéressées peuvent aussi suivre l'actualité de cybersécurité sur les réseaux sociaux via le hashtag #TousSecNum.
Le RGPD prétexte à arnaques
Si le RGPD oblige toutes les organisations à se préoccuper de cybersécurité il a aussi généré un regain des cyber-arnaques. Certaines entreprises ou mairies ont pu recevoir des appels de prestataires menaçant de "les dénoncer à la Cnil" en révélant des failles de sécurité qu'ils auraient repérées. D'autres proposent une solution de mise en conformité "clef en main" peu compatible avec l'esprit du RGPD qui impose la mise en œuvre d'une organisation pérenne (délégué à la protection des données, tenue d'un registre des traitements).
Des arnaques qui ont conduit la Cnil et la DGCCRF à diffuser une mise en garde.
