Internet est partout, mes données, vos données et celles de votre entreprise ou organisme sont menacées.
Même si cela ressemble au pitch d’un mauvais film de cybercriminalité, cela est tout à fait réel.
Vos données personnelles peuvent être utilisées à des fins de malveillantes et/ou de manipulation. Quant à vos données d’entreprises, c’est simplement l’essence même de votre structure qui est en jeu.
Pourquoi être si alarmiste ?
Voilà 25 ans que le monde se connecte et ce n’est qu’un début. La plupart des utilisateurs et des décideurs ne soupçonnent pas la myriade d’objets connectés qui vont bientôt envahir notre société.
Pour bien comprendre ce qu’est la sécurité informatique, il faut avoir à l’esprit que la plupart des attaques réussies passent par le maillon faible du réseau.
Imaginez qu’un roi construit un château fort surarmé avec portes indestructibles. Aujourd’hui un seul homme peut vous piratez : pensez-vous qu’il va simplement se présenter devant la porte principale du château. Cet homme va chercher les failles ou la faille comme, par exemple, le souterrain secret, qui même directement aux appartements du roi ou s’introduire dans les chariots qui fournissent le château en denrées. Les hackers font la même chose mais numériquement.
Vous faites malheureusement fausses routes 9 fois sur 10 si :
- vous pensez être bien protégés car, comme moi, vous n’êtes spécialiste en cyber sécurité
- vous pensez que votre structure est trop petite pour intéresser des hackers
Un maitre mot : soyez vigilant !
Exemple de hacking insoupçonné :
Des chercheurs américains ont été capables de s’introduire dans un réseau d’entreprise via une imprimante réseau non sécurisée et ont pu ensuite avoir accès aux données du réseau. Pour aller encore plus loin via la même démonstration de hacking, ils ont réussi à faire vibrer un composant électronique de l’imprimante à distance pour le transformer en microphone et ainsi écouter tout ce qui se passer dans la pièce. Encore plus fort, ils ont ensuite réussi à utiliser une autre série de composant de l’imprimante pour émettre ce que le « micro » capté sur une bande radio AM. Il ne restait plus qu’à ce placer en bas de l’immeuble et écouter les conversations directement depuis un simple autoradio.
Certes cet exemple est assez poussé mais lorsqu’on a conscience des risques potentiels et des opportunités de piratage existantes, on envisage son réseau avec un oeil neuf et plus avisé.
A savoir : la plupart (voir la quasi totalité) des objets connectés ne sont pourvus d’aucune sécurité.
Avoir conscience des risques
Vous êtes une entreprise ?
Pour des raisons évidentes de sécurité numérique, vol ou destruction de données, intrusion réseau il est recommandé de porter une attention toute particulière lors du choix de votre prestataires pour les mails et le cloud le stockage de données reliées à un réseau d’entreprise lui-même relié à Internet ou à un réseau externe. La sécurité de tout appareil connecté à ce même réseau doit également être abordé. Inutile de mettre en place une armada de sécurité numérique si un ou plusieurs appareils ‘autorisés’ sont des passoires en termes de sécurité. Par exemple, des appareils de domotiques non sécurisés connectés sur le réseau de l’entreprise (caméras IP, périphérique wifi comme des imprimantes etc..)
Notre conseil : il est préférable parfois de recueillir les conseils avisés d’un spécialiste en sécurité via l’achat d’une prestation-conseil avant de se décider. Un spécialiste en sécurité informatique peut également réaliser un audit de votre réseau pour vous faire prendre conscience des points faibles de votre installation.
Nous vous conseillons l'entreprise : Lemnet (Nancy) pour toutes prestations de conseils et/ou d'audits sécurité informatique / cybersécurité.
Vous êtes une administration ?
Les mêmes règles que pour les entreprises s’appliquent.
Rappelons également que pour les collectivités, il est illégal de stocker des données hors de France.
Qu’est-ce que cela veut dire ?
Vous êtes la Mairie d’un petit village et avez créé un email via un service étranger (Gmail, Outlook, Live, Hotmail..) ?
Vous utilisez des services de cloud comme Drive de Google, Onedrive de Microsoft ou Dropbox …
Si tel est le cas vous êtes hors la loi.
Télécharger la circulaire.
Accéder à la liste des hébergeurs d’archives numériques agréés par l’État.
Pourquoi cette mesure ? Pour des questions essentielles de sécurité d’état. Chaque trace d’échange numérique peut être utilisées à des fins malveillantes par des hackers.
Vous pensez être une structure trop petite pour être réellement concernées ?
Détrompées vous !
Vos échanges de mails via vos divers contacts de l’administration sont une mine d’informations pour des hackers : adresse, mail, nom de contact, adresse IP des utilisateurs et des serveurs etc…
Ne soyez pas le maillon faible et utilisez des services basés en France et agréés par le gouvernement.
Le RGPD dans tout cela ?
Quelque part, RGPD, loi informatique et liberté et consort : même combat.
La réelle difficulté avec ce type de loi et qu’elle ne sera respectée que par les entreprises, organisations ou groupes de personnes bienveillants. Ceux qui trichent, ceux qui volent, ceux qui exploitent nos données continueront à le faire. Certes, désormais un cadre légal existe mais n’oublions pas que voler, usurper, utiliser des datas à des fins malveillantes n’a jamais été légal, RGPD ou pas. C’est un début, mais il ne suffit pas du vote d’une loi pour régler les problèmes de sécurité informatique. Les intéressés seront-ils traqués ? démasqués ? mis hors d’état de nuire ? rien n’est moins sûr.
Comment aborder le hacking de façon ludique et découvrir ce qu’il est possible de faire :
- Regarder la série Mr Robot (fiche wikipédia) qui romance via un pastiche des « Anonymous » des faits de piratages tout à fait possible et dans l’air du temps. (La VF ne traduit pas tous les termes techniques correctement ; de ce point de vu la VO est bien meilleure.)
- Regarder des émissions comme Cyberwar et Motherboard sur la chaine Vice (via le groupe Canal en France)
