Cybermenace 2024 – Mesurer le risque

Publié le 22 mai 2024


1. Comprendre vos enjeux

Quelle que soient la taille, la structure, ou les ressources de votre société, l’importance de la prise en compte de la sécurité informatique dans votre construction, développement ou expansion n’est plus à démontrer.

Vous n’êtes pas encore convaincus ? Voici quelques chiffres marquants du paysage de la cybermenace en 2023 (voir not. le Rapport de l’ANSSI sur le Panorama de la Cybermenace en 2023 et le bilan de la CNIL sur les violations de données du 27 mars 2024) :

  • $4.45 millions : le coût moyen d’une violation de données en 2023, soit 15% d’augmentation sur les 3 dernières années
  • 71% d’augmentation des cyberattaques utilisant des informations d’authentification volées ou compromises, d’une année sur l’autre
  • 55% des violations notifiées à la CNIL concernent des actes malveillants externes. 1/3 des sanctions prononcées visent des manquements à la sécurité. 

Quel est le public concerné ?  Tous les organismes de l’écosystème français sont concernés, avec une tendance plus importante d’attaques des PME/TPE et ETI (34% des victimes d’attaques par rançongiciel selon les chiffres rapportées par l’ANSSI), suivies des collectivités (env. 24%).


2. Comprendre vos enjeux

Dans son rapport « Panorama de la cybermenace 2023 », l’ANSSI met en garde les organismes de l’écosystème français sur l’évolution constante et croissante de la cybermenace.

Une cyberattaque, oui mais dans quel but ? L’ANSSI identifie trois principaux objectifs poursuivis par les cyberattaquants :

  • Espionnage : l’un des moyens efficaces pour l’espionnage stratégique et industriel est de s’en prendre aux intermédiaires des organismes stratégiques et étatiques (ex : les sous-traitants).
  • Lucrativité : l’ANSSI note une augmentation de 30% des attaques à but lucratif (ex : les rançongiciels) en 2023 par rapport à 2022. Les PME/TPE et ETI sont principalement touchées.
  • Déstabilisation : l’ANSSI note un regain de la tendance en 2023, certainement dû au contexte géopolitique tendu. Les attaques par DDoS sont les plus fréquentes.

Comment peuvent-elles survenir ? Les cyberattaquants profitent de nombreuses faiblesses techniques et humaines. Ces vulnérabilités sont multiples lorsqu’un organisme se désintéresse de l’investissement en matière de sécurité : manque de sensibilisation et d’encadrement des salariés, défaut de mise à jour des ressources informatiques (matérielles et logicielles), insuffisance du niveau de sécurité d’un sous-traitant stratégique, etc.

⚠️ Mise en garde : Les capacités offensives des cyberattaquants s’améliorent constamment. Leurs attaques sont ainsi de plus en plus difficiles à prévenir, détecter et corriger.


3. Par où commencer ?

Pour réduire leurs risques face à la cybermenace croissante, nous recommandons à nos clients d’investir dans la sécurité informatique et la protection des données. Cet investissement doit notamment permettre :

  • D’assurer la viabilité de la croissance et du développement de leur société.
  • De réduire le risque de sanction de la CNIL (not. manquement à l’article 32 du RGPD).
  • De protéger leurs ressources et investissements.

Cet investissement doit se faire en fonction de la taille et des ressources de l'organisme.

La mise en place d’une stratégie de pilotage de la sécurité au sein de votre organisme nécessitera, au préalable :

  • Un accompagnement adéquat par un DPO / conseil juridique averti ainsi que par un RSSI / DSI ou consultant disposant d’une expertise technique en matière de systèmes d’information.
  • L’implication de votre Direction pour (i) approuver les objectifs et le budget alloué à la sécurité et (ii) permettre un suivi des chantiers.
  • La cartographie de l’existant notamment en termes d’infrastructures, d’applications sur votre système d’information et de flux de données.

⚠️ Le mot de la CNIL sur ce qu’il ne faut pas faire : la CNIL vous déconseille (i) de déléguer l’entière gestion de la sécurité informatique à un fournisseur et (ii) de considérer la sécurité comme un problème accessoire !


4.       Les grands axes de sécurité

Le Guide de la sécurité des données personnelles édité par la CNIL, et mis à jour en mars 2024, offre des recommandations précieuses sur la mise en place d’un socle de sécurité.

Nous avons souhaité synthétiser ici les principaux axes de sécurité à privilégier :

Gérer les utilisateurs de votre SI

  • Encadrer les relations avec les préposés : mettre à jour vos contrats de travail, rédiger une charte informatique, former et sensibiliser.
  • Implémenter une authentification forte sur vos ressources informatiques.
  • Maîtriser les habilitations sur vos ressources grâce au principe du moindre privilège. 

Gérer vos ressources informatiques

  • Sécuriser les équipements de travail fixes et mobiles (encadrer aussi les pratiques BYOD).
  • Protéger le réseau informatique, les serveurs et sites web.
  • Protéger vos locaux (protection contre les évènements de force majeure et contre des accès non-autorisés). Encadrer les développements informatiques.

Maîtriser vos flux de données

  • Sécuriser vos flux de données entrants et sortants (mesures de chiffrement).
  • Gérer vos sous-traitants : audit de leurs garanties, contractualisation renforcée, vérification et suivi.
  • Encadrer les interventions de maintenance et fin de vie de vos ressources (mises au rebut).

Anticiper et prévenir les incidents

  • Tracer les opérations sur votre SI (journalisation des évènements).
  • Réaliser des sauvegardes fréquentes, et vérifier l’intégrité des sauvegardes.
  • Implémenter des procédures internes de gestions des violations et de continuité / reprise d’activité.

 

5.       Pour aller plus loin

Du fait des risques présentés par certains projets informatiques, et de la tendance orientée des cyberattaques sur ces dernières années, le Guide de sécurité de la CNIL comporte de nouvelles fiches thématiques permettant de vous guider dans la conception de leurs projets :

  • Cloud : Informatique en nuage.
  • Applications mobiles : conception et développement.
  • Intelligence Artificielle : conception et apprentissage.
  • API : interfaces de programmation applicative.

 L’assistance du Cabinet : notre équipe IT – DATA – CYBER est à l’écoute de vos besoins et vous accompagne de manière transversale pour :

  • Établir et documenter vos procédures internes relatives à la protection des données et à la sécurité (chartes informatiques, PSSI, procédures de gestion des violations de données, etc.).
  • Assurer la conformité de vos projets informatiques (audit juridique, analyse et conseils).
  • Former et sensibiliser votre Direction, vos salariés et préposés, sur les enjeux de sécurité informatique et de la protection des données.
  • Encadrer votre risque contractuel avec vos sous-traitants et interlocuteurs commerciaux.

Actualités juridiques

PERSPECTIVES

CABINET D'AVOCATS

6 RUE HALEVY — 75009 PARIS

Mentions légales

CGU

Politique de protection des données

Cookies