« Ce qui bouge, poursuit le spécialiste cyber, ce sont les technologies et les cibles. » L'intelligence artificielle va devenir en effet un « enjeu très fort », à mesure que « les cas d'usages vont se multiplier », prévient Gérôme Billois. Avec, côté pile, « de nouvelles familles d'attaques ». Côté face, « la simplification d'un certain nombre de tâches pour les défenseurs ». Quant aux cibles, si le niveau de maturité des grandes entreprises et des ETI continue de progresser, avec une rationalisation des équipes et des budgets cybers, le « maillon faible » réside toujours du côté de la chaîne d'approvisionnement, avec des dizaines de milliers de PME et de TPE. Des partenaires pas toujours rodés en matière de cyber…
Encore loin du minimum requis
Ce que confirme Jérôme Notin, le directeur général de Cybermalveillance.gouv.fr : « Si les PME/TPE réalisaient le minimum requis en cyber, on aurait déjà élevé de manière significative le niveau de sécurité générale de l'écosystème. » Convaincre les dirigeants des TPE/PME, qui sous-estiment ainsi encore trop souvent la menace, « de sécuriser leur entreprise en amont », c'est tout l'objet de la nouvelle campagne ImpactCyber de cette douzième édition du mois cyber. Une opération de sensibilisation organisée et relayée par « le groupement d'intérêt public Cybermalveillance.gouv.fr, le Club EBIOS, la Confédération des petites et moyennes entreprises, le Medef et l'U2P (Union des entreprises de proximité) », détaille Jérôme Notin.
A Bpifrance, Lionel Chaine, le directeur des systèmes d'information, partage l'analyse de Jérôme Notin. C'est la raison pour laquelle Bpifrance s'est associée, en juin, avec Docaposte afin de lancer une offre de « bouclier minimum » à destination des TPE/PME. Comptez environ 20 euros par poste et par mois.Un bouclier qui comprend, entre autres, « une détection et réponse des terminaux (EDR) managé et un système de sauvegardes inaltérables ». Jusque-là, insiste Lionel Chaine, « le marché de la protection cyber pour les TPE/PME était quasi inexistant ». Le DSI de Bpifrance rappelle également à destination des dirigeants de TPE/PME qu'un guide a été édité avec Cybermalveillance.gouv.fr, en 2021. « Il est toujours d'actualité. »La même exigence que pour le RGPD
Alain Bouillé, le délégué général du Club des experts de la sécurité de l'information et du numérique (Cesin), souligne, quant à lui le rôle et l'apport de la réglementation. La directive NIS2, par exemple, qui entre en vigueur ce mois-ci, devrait ainsi fortement influencer les stratégies cyber en s'appliquant à un nombre croissant de petites et moyennes entreprises.« Au-delà des directives européennes (Dora, NIS 2), nous devrions avoir la même exigence pour le cyber qu'avec le RGPD. Nous avions par exemple proposé en début d'année, à la secrétaire d'Etat chargée du Numérique, Marina Ferrari, d'étendre la responsabilité pénale du dirigeant de PME au cyber », illustre-t-il.
Renaud Feil, le président et cofondateur de Synacktiv (180 collaborateurs, 26,5 millions de CA en 2023), spécialisé dans les tests d'intrusion et les audits de sécurité, pointe, pour sa part, la problématique des helpdesks : « On a récemment réalisé un test d'intrusion dans un gros groupe d'une dizaine de milliers d'employés. »
Résultat, « en nous faisant passer pour un collaborateur qui avait perdu ses mots de passe, nous avons pu nous faire attribuer des accès à certaines applications ainsi qu'à des données sensibles de l'entreprise ». Un bon exemple de « social engineering » (une pratique de manipulation psychologique), qui permet « de réussir une attaque avec un faible niveau technique », prévient Renaud Feil. « Un point de vigilance pour toutes les entreprises », alerte le spécialiste, en particulier avec « l'essor du télétravail et du freelancing ». Les fondamentaux en matière de cyber sécurité demeurent inchangés, martèle Gérôme Billois, chez Wavestone, avec toujours les mêmes quatre grands piliers : « identifier, protéger, détecter, répondre ». Mais aussi, savoir « reconstruire » en cas d'intrusion. ·