En cette année d'élection présidentielle, la France est une cible de choix - tout comme les Etats-Unis avant elle - et la menace est réelle. C'est pourquoi, le Président François Hollande a demandé lors d'un conseil des ministres un rapport circonstancié sur les menaces de cyberattaques pesant sur la présidentielle, afin d'éviter toute ingérence d'un pays tiers dans l'élection présidentielle française. Une requête qui semble tardive à tout juste quelques mois des élections, alors qu'il existe des moyens de prévention simples et éprouvées permettant de prévenir les failles de sécurité ; un récent rapport du Department of Homeland Security (DHS), le ministère de la sécurité intérieure, confirme que ces méthodes permettraient de contrer jusqu'à 85 % des cyberattaques actuelles. Malheureusement, la théorie reste plus forte que la pratique...

Le « bon sens » en action

Si ces recommandations ne sont toujours pas adoptées par les entreprises, c’est qu’elles sont peut-être trop chronophages, couteuses ou encore difficiles à mettre en place. Pourtant, les organisations disposent aujourd’hui d’outils pour appliquer les mises à jour sur les applications et les systèmes d’exploitation, la configuration d’antivirus et de firewall, la restriction des accès administrateurs, par exemple. Elles sont également en mesure d’aller plus loin en mettant en œuvre de la segmentation au niveau du réseau et en fournissant des listes d’applications sûres utilisables par leurs employés.

Concrètement, ces conseils relèvent donc en grande partie du bon sens, et sont à la portée de chaque organisation ayant une stratégie de cybersécurité en place. Cependant, de même que la surinformation rend le message confus, la multiplication des conseils et solutions de sécurité tend à brouiller les recommandations. Ainsi, tandis que de nombreuses entreprises ignorent encore les meilleures pratiques à adopter en matière de sécurité, d’autres choisissent simplement de ne pas y avoir recours. Alors qu’une indignation générale s’élève face aux attaques d’origines gouvernementales, l’incapacité de certaines structures à résoudre des problèmes de sécurité basiques devrait susciter les mêmes réactions. Loin de s’arrêter aux portes du domaine politique, ces problématiques s’étendent également aux secteurs public et privé.

Incapacité chronique à se protéger ? Pas sûr.

Des questions méritent donc d’être posées : pourquoi ces comportements persistent ? Est-ce par manque de sensibilisation ? Bon nombre de ces recommandations sont pourtant mises en avant depuis des années. Mais pas une semaine ne passe sans que des entreprises publiques, de grandes banques mondiales, des détaillants et des entreprises technologiques ne soient encore la proie d’attaques élémentaires, telles que l’hameçonnage. Ce n’est pas non plus la faute à un manque de budget et d’investissements puisque selon IDC, les organisations devraient dépenser 101,6 milliards de dollars en logiciels, services et matériel de sécurité, en 2020. D’autres estimations parlent de montants encore plus élevés.

Finalement, ces manquements de la part de chaque secteur à appliquer une stratégie de cybersécurité considérée comme rudimentaire instaure et tend à pérenniser un climat d’insécurité générale pour tous les acteurs de la société. Il semble en effet que l’écosystème entier – des politiciens à l’Etat, en passant par les media, les fournisseurs de sécurité et les entreprises – parle de la sécurité, mais a des difficultés à en faire une réalité. Par conséquent, les mêmes failles et problèmes perdurent et, malgré les avertissements, très peu de mesures sont réellement prises pour remédier à ces vulnérabilités qui font le bonheur de nos ennemis géopolitiques et de quiconque souhaite en profiter. Alors que les fondements de la sécurité sont martelés et perçus comme acquis, souvent à tort, par la plupart des victimes de cyberattaques, c’est peut-être l’approche et la manière dont elle est abordée qui sont la source du problème. En effet, si le message est bon mais qu’il ne passe pas, ne faudrait-il pas envisager éventuellement de modifier la manière dont il est transmis ?