E-parcours cybersécurité : pour assurer face aux risques de cyberattaque

La banque d’investissement Bpifrance propose aux entreprises de se former sur le thème de la cybersécurité via un e-parcours permettant de mieux comprendre d’où peuvent venir les risques et comment y faire face.

Face aux cyberattaques qui se multiplient, beaucoup d’entreprises se trouvent démunies, notamment les plus petites, celles qui ne disposent pas d’un service informatique ou qui ne sont pas accompagnées par un prestataire extérieur spécialisé. Pour les aider à faire face à ce risque croissant, Bpifrance lance un e-parcours cybersécurité dont l’objectif est de donner toutes les clés de compréhension et des outils pour bien appréhender les enjeux et les menaces, mettre en œuvre les mesures adéquates pour se prémunir du risque de cyberattaque et avoir les bons réflexes afin réagir correctement en cas d’attaque.

Un parcours en trois phases

Cet e-parcours se déroule en trois parties : une phase d’auto-diagnostic d’une quinzaine de minutes destiné à mesurer le niveau de cybersécurité de l’entreprise via un questionnaire ; une formation de 3h30 pour apprendre à se prémunir via différents outils (modules de e-learning, webinaires, digital guides et guide) et connaître les mesures simples pour se protéger ; un webinaire et un guide d’une soixantaine de minutes pour découvrir comment faire face, réagir et redémarrer suite à une cyberattaque. Pour démarrer le E-parcours cybersécurité, rendez-vous sur bpifrance-universite.lms.crossknowledge.com

Article publié le 16 juin 2021 – © Les Echos Publishing 2021

Entrée en vigueur de l’authentification forte pour les transactions bancaires

Dans le cadre de la règlementation DSP2, l’ensemble des transactions en ligne par carte bancaire au-dessus de 30 € doivent désormais se soumettre à une authentification forte, c’est-à-dire être vérifiées via une double authentification.

L’authentification forte consiste à valider une opération bancaire par au moins deux des trois éléments d’authentification existants : soit un mot de passe que seul l’utilisateur connaît, soit via un appareil possédé par l’utilisateur (téléphone, carte à puce…), soit via une caractéristique personnelle de l’utilisateur (empreinte digitale, reconnaissance faciale…). Et c’est aux établissements bancaires de mettre en place ce dispositif, à charge pour les commerçants de l’appliquer.

Un impératif européen

Cette demande d’authentification à double facteur est issue d’une directive européenne sur les services de paiement (DSP2), entrée en vigueur en janvier 2018, mais qui n’était pas encore totalement appliquée, la France ayant choisi une mise en œuvre progressive pour ne pas imposer une mesure brutale.Depuis octobre 2020, le seuil des montants qui nécessitent une authentification forte est donc régulièrement abaissé, de 2 000 € à 30 € depuis le 15 mai dernier. La Fédération bancaire française (FBF) a tout de même indiqué que les établissements bancaires français avaient 4 semaines de plus pour s’adapter, notamment pour laisser le temps aux Français de télécharger l’application de leur banque.Passé ce délai, les banques pourront décliner toute transaction non conforme…

Article publié le 08 juin 2021 – © Les Echos Publishing 2021

En 2020, la Cnil a sanctionné davantage

Dans son rapport annuel pour l’année 2020, la Commission nationale de l’informatique et des libertés (Cnil) indique avoir prononcé plus de sanctions que l’année d’avant avec notamment un nombre grandissant de violations de données.

Ce sont 14 sanctions et 49 mises en demeure qui ont été prises en 2020 par la Cnil, des chiffres en augmentation par rapport à 2019 (8 sanctions et 42 mises en demeure l’année précédente). La crise sanitaire et son augmentation de l’utilisation des technologies de communication à distance n’y sont pas pour rien.

L’effet des rançongiciels

Le nombre de notifications de violation de données (2 825) a augmenté de 24 % notamment à cause d’un grand nombre d’attaques au rançongiciel. Mais aussi du piratage informatique qui est à lui seul à l’origine de 1 315 notifications (+70 % par rapport à l’année passée).La Cnil a également reçu 13 585 plaintes (+62,5 % depuis la mise en œuvre du RGPD !), chiffre qui confirme la prise de conscience des Français vis-à-vis de leurs droits en matière de protection de leur vie privée. Pour aider les entreprises à se mettre en conformité avec le RGPD et la loi, la Cnil rappelle à ce sujet qu’elle propose aux professionnels une boîte à outils généraux et sectoriels. Elle a notamment publié un guide des tiers autorisés et un guide pour aider les professionnels à définir des durées de conservation des données, ainsi que de nombreux contenus sur les cookies et autres traceurs. Elle dispose également de nouvelles fiches explicatives pour comprendre et maîtriser les règles d’entreprise contraignantes (politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l’Union européenne), ou encore sur la certification (d’un produit, service, processus ou système de données).

Pour consulter le rapport 2020 : www.cnil.fr/

Article publié le 02 juin 2021 – © Les Echos Publishing 2021

Une stratégie nationale pour le Cloud

Parce que le Cloud représente une opportunité unique pour la France en termes d’emplois et de croissance, mais parce qu’il comporte aussi des risques pour l’intégrité des données, le gouvernement vient de présenter une stratégie nationale.

De plus en plus de services numériques s’appuient sur le Cloud, qui pourrait représenter dans les prochaines années un chiffre d’affaires aussi important que celui du secteur des télécommunications et créer de nombreux emplois. Son essor entraîne une transformation des entreprises et des administrations et donne naissance à une nouvelle compétitivité économique. Mais le Cloud présente aussi des risques pour l’intégrité des données des Français, à la fois d’un point de vue technique avec la multiplication des cyberattaques, et d’un point de vue juridique avec l’accès potentiel d’États étrangers aux données des citoyens, des administrations et des entreprises françaises.Pour répondre à ces enjeux, le gouvernement a élaboré une stratégie reposant sur trois axes : un label « Cloud de confiance » octroyé aux fournisseurs de services pour bénéficier des outils offerts du Cloud (suites bureautiques collaboratives, outils de visioconférence, etc.) avec l’assurance d’une protection des données ; une politique « Cloud au centre » de l’administration pour accélérer la transformation numérique du service public dans le strict respect de la cybersécurité et de la protection des données des citoyens et des entreprises ; une stratégie industrielle ambitieuse, dans le cadre de France Relance, avec un soutien direct à des projets Cloud à forte valeur ajoutée pour permettre à la France de progresser dans sa souveraineté technologique.

Article publié le 25 mai 2021 – © Les Echos Publishing 2021

Rançongiciels : la menace persiste !

La crise sanitaire n’a pas dissuadé les hackers de lancer des attaques par rançongiciel contre les entreprises, bien au contraire. Une bonne raison de revenir sur ce fléau technologique et sur les moyens à mettre en œuvre pour le contrer.

Les rançongiciels ?

Les rançongiciels ou ransomwares peuvent totalement bloquer le fonctionnement d’une entreprise dont ils affectent les ordinateurs.

Pour rappel, les rançongiciels sont des programmes malveillants qui, une fois installés sur une machine (station, serveur…), vont emprisonner les données qui y sont stockées en les cryptant. L’utilisateur en est alors averti via un écran d’informations et est invité à verser une rançon en échange de laquelle les clés de déchiffrement lui seront, en théorie du moins, communiquées. Ces logiciels malveillants sont redoutables, d’autant plus qu’ils utilisent des techniques de chiffrement d’un niveau si élevé qu’il est presque impossible de les décrypter. C’est pourquoi de nombreuses entreprises victimes se résignent à payer les maîtres-chanteurs. Et ces derniers s’attaquent aux multinationales, aux PME, mais aussi à des services publics aussi sensibles que les services de santé. Les centres hospitaliers de Dax-Côte d’Argent et de Villefranche-sur-Saône en ont récemment fait les frais.

Attention : beaucoup de rançongiciels ne vont pas se contenter de chiffrer les fichiers contenus sur le ou les disques durs de l’ordinateur infecté. Ils vont aussi s’attaquer aux données présentes sur les supports que la machine contrôle (clés USB, disque dur portable, données enregistrées sur un serveur en cas de connexion à un réseau…).

En 2020, le nombre d’attaque par rançongiciels signalées et traitées par l’Agence nationale de la sécurité des systèmes d’information (Anssi) a été multiplié par 4 par rapport à 2019. C’est devenu, selon la plate-forme publique www.cybermalveillance.gouv.fr, la première menace informatique pour les collectivités, mais aussi pour les entreprises.

Prévenir

Pour réduire les conséquences d’une attaque par rançongiciel, des précautions doivent être prises.

Les rançongiciels s’introduisent sur une machine en utilisant une faille technique ou en profitant d’une erreur humaine. Il convient donc de combler ces failles techniques en appliquant les mises à jour de sécurité sur les logiciels et en maintenant à jour ses antivirus. En termes de comportement, il est conseillé de ne pas donner suite aux courriels suspects (non sollicités, envoyés par un expéditeur non clairement identifié…) ou incongrus (envoi d’une facture par un prestataire connu à la mauvaise personne, par exemple), et surtout de ne jamais ouvrir les pièces jointes qu’ils contiennent. Il convient également d’éviter les sites internet non officiels et de ne jamais laisser un ordinateur connecté à un réseau allumé inutilement.

Les indispensables sauvegardes

Enfin, l’ultime précaution à prendre pour limiter les conséquences d’une attaque par rançongiciel est de réaliser des sauvegardes régulières des données de l’entreprise (au moins une fois par jour) sur une machine ou via un service en ligne (cloud) non connecté en permanence au réseau de l’entreprise (afin qu’il ne puisse être touché par l’attaque du rançongiciel). Dès lors, même en cas d’impossibilité de déchiffrement, les pertes de données, seront réduites.

Et réagir

Débrancher la machine contaminée et appeler des informaticiens en renfort sont les premières actions à mener en cas d’attaque par rançongiciel.

Même en prenant toutes les précautions, le risque zéro n’existe pas. Il faut donc se préparer à réagir, si par malheur, un rançongiciel parvenait à s’introduire sur un des ordinateurs de votre entreprise. Ainsi, en cas d’attaque, vous devez : débrancher immédiatement la machine contaminée du réseau de l’entreprise. L’objectif est ici, dans la mesure du possible, d’éviter que le rançongiciel ne contamine le serveur mais aussi les autres ordinateurs connectés au réseau ; alerter le service informatique de votre entreprise ou votre prestataire technique. Ces professionnels de la sécurité informatique tenteront alors de contrer le rançongiciel afin de récupérer le plus de données possibles. Si les données de la machine touchée sont irrécupérables, ils régénéreront la dernière sauvegarde. Ensuite, ils nettoieront la machine avant de la reparamétrer et d’y recopier les données sauvegardées. Si vous n’avez pas de service informatique, une liste de prestataires spécialisés est proposée sur le site www.cybermalveillance.gouv.fr ; ne jamais payer la rançon ! Pourquoi ? Tout d’abord, parce que cela ne vous garantit pas du risque que le preneur d’otage tiendra sa parole et « libérera » vos données. Ensuite, car cela ne fera que l’encourager à continuer, voire à prendre à nouveau votre entreprise pour cible ; déposer plainte et notifier cette attaque à la CNIL si elle a entraîné une violation des données à caractère personnel des salariés ou des clients de l’entreprise.

Important : la sécurité informatique est l’affaire de tous, des salariés comme des dirigeants. Des informations sur les bonnes pratiques doivent donc être régulièrement communiquées à chacun. Sur ce point, des fiches techniques et mémo simples et pédagogiques sont proposées sur www.cybermalveillance.gouv.fr. N’hésitez pas à inviter vos équipes à les consulter.

Des décrypteurs efficaces

Les rançongiciels ne sont pas toujours bien programmés, ce qui permet aux informaticiens travaillant dans les services de police et dans les sociétés éditrices de logiciels anti-malwares de créer des décrypteurs pour s’en libérer. Grâce à ces outils mis à disposition gratuitement sur le site No More Ransom (www.nomoreransom.org), il est possible de neutraliser une centaine de ces rançongiciels. Il est donc recommandé, en cas d’attaque et après avoir identifié le rançongiciel, de vérifier sur ce site si un décrypteur efficace n’existe pas.

Article publié le 20 mai 2021 – © Les Echos Publishing 2021

Aide à la numérisation : certaines associations sont éligibles

Le chèque France Num d’une valeur de 500 € destiné à aider les petites structures à accélérer leur numérisation peut bénéficier aux associations employeuses ou assujetties aux impôts commerciaux.

Si le numérique est un levier de développement pour le secteur marchand, il l’est également pour l’économie sociale et solidaire. Raison pour laquelle le chèque France Num mis en place par le ministère de l’Économie et des Finances pour aider les petites structures à développer leur activité en ligne pendant la crise sanitaire peut bénéficier aux entreprises comme à certaines associations. Concrètement, ces associations, pour être éligibles, doivent remplir les conditions suivantes : être assujetties aux impôts commerciaux ou employer au moins un salarié (mais moins de 11) ; avoir débuté leur activité avant le 30 octobre 2020 ; réaliser un chiffre d’affaires annuel ou un total de bilan inférieur à 2 M€ ; être à jour de leurs obligations sociales et fiscales.

Quel type de dépenses ?

Cette aide prend la forme d’un chèque forfaitaire de 500 € destiné à couvrir tout ou partie des dépenses engagées dans l’achat ou dans l’abonnement à une solution numérique (sites internet, paiement en ligne, place de marché, contenus, logiciels de caisse…) ou bien dans un service d’accompagnement à la numérisation proposé par un consultant référencé sur le site de France Num. Ces dépenses doivent avoir été facturées (via une ou plusieurs factures) entre le 30 juin 2020 et le 30 juin 2021 et leur montant cumulé doit être au moins égal à 450 €.

Sous quels délais ?

Pour les factures datées d’avant le 28 janvier 2021, la demande doit être déposée avant le 28 mai 2021. Pour celles datées entre le 28 janvier 2021 et le 30 juin 2021, la demande est recevable jusqu’au 31 juillet 2021. La demande s’effectue en ligne en une seule fois. Chaque structure ne pouvant effectuer qu’une seule demande.

Article publié le 20 mai 2021 – © Les Echos Publishing 2021

Dispositif d’aide à la numérisation des TPE : de nouvelles modifications

Le dispositif d’aide à la numérisation des TPE vient à nouveau de faire l’objet d’aménagements par un décret qui élargit notamment les conditions d’accès pour en bénéficier.

Pour inciter les petites entreprises à numériser leur activité, le gouvernement a mis en place une aide exceptionnelle de 500 €, leur permettant ainsi de maintenir ou développer leur activité en ligne pendant la crise sanitaire. Les modalités d’octroi de cette aide viennent d’être réaménagées.S’agissant des bénéficiaires, toutes les entreprises de moins de 11 salariés sont désormais éligibles, quel que soit leur secteur d’activité, sous réserve, notamment, de réaliser un chiffre d’affaires annuel inférieur à 2 M€ HT. Sont également éligibles à cette aide certaines associations exerçant une activité économique (associations employeuses ou assujetties aux impôts commerciaux) réalisant également moins de 2 M€ de chiffre d’affaires. Il est ajouté que les entrepreneurs individuels, ou les dirigeants majoritaires dans le cadre de sociétés, ne peuvent en bénéficier s’ils sont titulaires, depuis le 30 octobre 2020, d’un contrat de travail à temps complet, sauf si l’effectif salarié de l’entreprise est supérieur ou égal à 1.

Une demande devant être adressée avant le 31 juillet

Le décret supprime également les obligations d’avoir fait l’objet d’une interdiction d’accueil du public à compter du 30 octobre 2020 ou d’être inscrit au RCS ou au répertoire des métiers.Enfin, il prévoit que la demande d’aide doit être envoyée avant le 31 juillet 2021 pour les factures datées à compter du 28 janvier 2021 (alors que les entreprises avaient un délai de 4 mois pour envoyer les factures datées d’avant le 28 janvier 2021).


Rappel : ces demandes sont à adresser à l’Agence de services et de paiement par l’intermédiaire d’un téléservice accessible à l’adresse suivante : https://cheque.francenum.gouv.fr/ecom/.

Décret n° 2021-555 du 6 mai 2021, JO du 7

Article publié le 19 mai 2021 – © Les Echos Publishing 2021

Intelligence artificielle : vers un encadrement juridique européen

Parce que l’intelligence artificielle (IA) revêt une importance stratégique pour l’Europe, mais qu’il faut aussi encadrer son usage pour éviter les dérives, la Commission européenne propose de mettre en place une règlementation.

C’est le premier cadre juridique proposé au sein de l’Union européenne sur le sujet de l’intelligence artificielle pour à la fois garantir la sécurité et les droits fondamentaux des citoyens et des entreprises et renforcer l’adoption de l’IA, les investissements et l’innovation dans l’ensemble de l’UE.Ce cadre règlementaire sera fondé sur une approche des risques :- Les systèmes présentant des risques jugés comme inacceptables parce qu’ils menacent la sécurité, les moyens de subsistance et les droits des personnes seront interdits. Il peut s’agir, par exemple, d’applications d’IA qui manipulent le comportement humain et privent les utilisateurs de leur libre arbitre (comme des jouets utilisant une assistance vocale incitant des mineurs à avoir un comportement dangereux) ou de systèmes qui permettent la notation sociale par les États.- Les systèmes présentant des risques jugés élevés devront se conformer à des obligations strictes pour pouvoir être mis sur le marché. Cela peut concerner les domaines touchant les infrastructures critiques (énergie, transports…), l’éducation, la formation professionnelle, l’emploi, les ressources humaines, les services privés et publics essentiels, le maintien de l’ordre, la justice, les processus démocratiques ou encore les systèmes d’identification biométrique à distance.- Pour ceux présentant des risques limités, ils devront appliquer des obligations spécifiques en matière de transparence (par exemple, les utilisateurs de chatbots devront être avertis qu’ils interagissent avec une machine).- Quant aux systèmes présentant un risque minime, la Commission propose leur libre utilisation (jeux vidéo, filtres anti-spam…).Pour que ces nouvelles règles soient applicables, elles doivent d’abord être adoptées par le Parlement européen et les États membres. À suivre donc…

Article publié le 07 mai 2021 – © Les Echos Publishing 2021

Quel bilan pour la plate-forme cybermalveillance.gouv.fr

Avec la crise sanitaire, les attaques informatiques se sont multipliées, notamment celles ciblant des entreprises. C’est ce qui ressort du bilan 2020 de la plate-forme cybermalveillance.gouv.fr.

Télétravail, achats en ligne, recherche d’informations… le confinement lié à l’épidémie de Covid-19 a entraîné une forte hausse des usages numériques en 2020, et avec eux, celle de la cybercriminalité. C’est ce dont témoigne la plate-forme www.cybermalveillance.gouv.fr dont l’objectif est d’assister les victimes de cyberattaques et de les informer sur les menaces et sur les moyens de s’en protéger, et qui vient de livrer son rapport pour l’année passée.

Toujours les rançongiciels

En 2020, la plate-forme publique a rencontré une forte hausse de sa fréquentation (+155 % par rapport à 2019) avec plus de 1,2 million de personnes qui ont visité ses contenus, et près de 105 000 personnes qui sont venues chercher de l’assistance. Il s’agit principalement de particuliers, mais les demandes provenant de publics professionnels (entreprises, associations, collectivités et administrations) ont également progressé de 20 %. Ces derniers ont principalement été victimes d’attaques par rançongiciels (+30 % de demandes d’assistance).Pour rappel, si vous pensez que votre entreprise est victime d’une attaque, vous pouvez vous connecter sur la plate-forme pour établir un diagnostic de votre situation, obtenir des conseils pratiques pour comprendre l’incident, voire entreprendre les actions pour le résoudre, comme un dépôt de plainte auprès des services de police ou de la gendarmerie. En fonction de la situation, vous pourrez être mis en relation avec des spécialistes et organismes compétents proches de chez vous pour vous assister techniquement ou bien trouver des solutions adaptées à vos besoins.www.cybermalveillance.gouv.fr

Article publié le 05 mai 2021 – © Les Echos Publishing 2021