Cybersécurité: «Les trois quarts des attaques ne sont pas connues et difficilement évaluables

C’est ce qu’estime Alain Bouillé, président du Club des experts de la sécurité de l'information et du numérique (CESIN)…

Cybersécurité: «Les trois quarts des attaques ne sont pas connues et difficilement évaluables»

 

La cybersécurité est au cœur des débats. Depuis les attentats de Paris, environ 25.000 sites français ont été attaqués, dont 1.300 par des islamistes, selon Bernard Cazeneuve. Le ministre de l’Intérieur, en visite au Forum international de la cybersécurité (FIC) à Lille, a annoncé ce mardi le déblocage de 108 millions d'euros sur trois ans pour développer les moyens de l'État en matière de criminalité sur Internet. Alain Bouillé, président du Club des experts de la sécurité de l'information et du numérique (CESIN), présent à ce salon lillois, analyse le sujet avec 20 Minutes

La cybercriminalité mondiale coûterait 327 milliards d’euros par an, selon une étude CSIS/McAfee datée de 2014. Peut-on expliquer ce chiffre?

L’évaluation de ce coût est très compliquée. Prenez l’exemple de l’attaque géante contre Sony Pictures [en novembre 2014], ce coût est aujourd’hui incommensurable. Les trois quarts des attaques ne sont pas connues et difficilement évaluables. Le coût d’une attaque «par déni de service» [qui bloque un site] sur un site marchand est facilement quantifiable, car le montant des transactions est chiffrable. Inversement, pour un «défacement» [la page d’un site est remplacée par une autre], le coût est difficilement chiffrable, car on attaque l’image de marque.

Quelles sont les entreprises les plus ciblées?

Cela dépend des motivations des pirates. Les banques sont visées pour obtenir des données de carte de paiement. Des entreprises de distribution le sont pour des vols de données de clients. Rappelez-vous la cyberattaque géante qui a touché en janvier 2014 le groupe Target, numéro trois de la grande distribution aux Etats-Unis. Ce vol a affecté jusqu'à 110 millions de clients, soit près d'un Américain sur trois. Des entreprises technologiques peuvent être aussi ciblées, afin de dérober des secrets de production. Ceci représente de l’argent à plus long terme.

Les plus petites entreprises sont-elles concernées?

Si les plus grosses entreprises françaises disposent de responsables de sécurité informatique, ce n’est pas forcément le cas des petites et moyennes entreprises (PME). L’état de leur sécurité informatique est plus préoccupant. Ce domaine n’étant pas leur cœur de métier, elles n’ont pas forcément de budgets dédiés. C’est une préoccupation car elles subissent des vols importants et réguliers, mais seules les grandes entreprises et les cyberattaques géantes font les gros titres de l’actualité.

Protéger les sites des entreprises coûte-t-il de plus en plus cher?

Se protéger coûte de plus en plus cher, car les menaces évoluent au jour le jour. Les entreprises savent aujourd’hui qu’elles seront un jour ou l’autre attaquées. Il faut ainsi se préparer avant la menace, mais aussi aux conséquences d’une attaque réussie. Cela nécessite de développer correctement son site en amont, avec des programmeurs avertis. Il faut aussi mettre en place des procédures et une formation des personnels. Cela nécessite un budget: on évalue entre 2% et 8% le budget informatique d’une entreprise qui devrait être consacré à la sécurité de ses réseaux. Par ailleurs, on peut souligner que les cyberassurances, qui assurent notamment vos données informatiques, sont en plein boum.