L’an dernier, une PME belge sur deux a été victime d’une cyberattaque. Le constat est sans appel : beaucoup d’organisations n’agissent pas suffisamment pour bloquer les failles de sécurité de leur système IT. Par méconnaissance ou par négligence ?
Texte : Philippe Van Lil
Internet, c’est à la fois l’ange et le démon. Formidable outil de productivité, il est aussi le canal qui permet aux cybercriminels de mener des attaques pour usurper des identités, voler ou corrompre des données. Dans ce contexte, bien des entrepreneurs se méfient du cloud. Ils rechignent à stocker leurs données auprès de prestataires tels que les Microsoft, Amazon, Google et autres, craignant qu’elles soient insuffisamment sécurisées.
Toutefois, selon Hugues Mertens, Owner et Expert Cloud chez About IT, une société qui travaille en partenariat avec Microsoft, « conserver ses données en interne par souci de confidentialité augmente considé-rablement les risques d’être exposé à une attaque ». Peu de chances de voir les grandes plateformes du cloud subir le même sort ! Techniquement, il est impossible d’avoir, tout seul dans son coin, le même niveau de sécurité, sans quoi les coûts exploseraient. »
Le hacking, une véritable industrie
En Belgique, la seule contrainte réglementaire permettant de protéger nos données est celle imposée par le respect des prescriptions du Règlement général sur la protection des données (RGPD). On est en droit de s’interroger sur la portée de ce règlement européen, alors que tous les acteurs significatifs du cloud sont aujourd’hui américains. Hugues Mertens se veut rassurant : « Leurs entités européennes sont tenues de se soumettre au RGPD. En outre, il est peu crédible que le gouvernement américain s’inté-resse de très près par exemple à une PME du Namurois. » En revanche, enchaîne-t-il immédiatement, « ce n’est pas le cas des cybercriminels : le hacking est devenu une véritable industrie. Ils utilisent des outils de test qui s’appuient sur des données publiques pour détecter des failles. À ce moment-là, cela peut être le début des ennuis si vous ne disposez pas d’un système de protection performant. Un système composé de couches successives, tel un oignon, complique les intrusions. Comme le cybercriminel veut être rentable et donc ne pas perdre de temps, il se dirigera toujours vers les systèmes les moins bien protégés. »
S’allier à un prestataire fiable
Hugues Mertens estime que les professionnels de l’informatique, dont il fait partie, ont un devoir d’évangélisation sur les questions liées à la cybersécurité : « Parmi les PME, il y a encore souvent une absence de prise de conscience, une grande méconnaissance sur la façon de se protéger, voire parfois carrément de la négligence. Neuf fois sur dix, les règles appropriées, par exemple relatives à la configuration d’un nom de domaine, ne sont pas respectées… parfois même encore après une attaque ! »
Il insiste aussi sur la nécessité de faire appel à un professionnel reconnu pour se protéger contre les cyberattaques. « Contrairement à certaines idées reçues, sécuriser son infrastructure ne représente pas un investissement démesuré. En effet, en Région wallonne, il existe des chèques-entreprises permettant de se faire aider par un spécialiste pour réaliser un audit ou un diagnostic portant sur la situation de son entreprise en matière de cybersécurité. »
Contrairement à certaines idées reçues, sécuriser son infrastructure ne représente pas un investissement démesuré.
À côté de ça, un organisme tel que le Centre pour la cybersécurité Belgique (CCB) publie des guides techniques comprenant des recommandations et des bonnes pratiques indispensables. « Les implémenter permet déjà d’éviter 80 % des incidents tels que ceux que nous avons connus l’an dernier en Belgique. Il est vraiment illusoire de penser qu’on peut arriver à s’en sortir tout seul. Pour savoir si un prestataire est fiable, on peut s’appuyer sur la liste des affiliés de la Cyber Security Coalition pour la Belgique ou s’adresser auprès du département cybersécurité d’Agoria. »