L’espionnage informatique n’est ni du domaine de la science-fiction, ni l’apanage de grands groupes. Il ne nécessite d’ailleurs pas forcément aujourd’hui d’être un expert en la matière. Il prend l’exemple de Spybubble, un logiciel espion pour Smartphones (iPhone, Android…). Pour une somme modique, ce logiciel permet d’accéder aux messages, contacts, système de géolocalisation… du téléphone pris pour cible. La version professionnelle permet même, pour un peu plus de 60 euros, d’écouter et d’enregistrer les conversations téléphoniques, mais aussi tout ce qui se passe dans l’environnement du téléphone. Autant dire que ce type d’application ne nécessite pas de compétences particulières… Et les exemples sont nombreux…

L’action des directeurs de sécurité des entreprises s’en trouve d’autant plus difficile et de plus en plus critique : le sujet est ardu, en constante évolution et les conséquences des attaques sont lourdes pour le patrimoine informationnel français.

Face à ce constat, le travail de l’ANSSI n’est pas simple, explique Patrick Pailloux, et ce pour plusieurs raisons : c’est un sujet complexe et ardu au niveau technique, et le langage des experts est parfois difficile à décrypter pour certains. De plus, « votre action, comme la nôtre, consiste à ramer dans le sens inverse de l’entreprise, ce qui donne souvent l’impression de labourer la mer ».

Se fixer des objectifs…

La bonne nouvelle est que nos dirigeants d’entreprise commencent enfin à prendre conscience du problème. « Ils sont inquiets, mais ne savent pas trop quoi faire. Un travail de persuasion reste à mener, mais il faut aussi être force de propositions. Il n’existe pas de fatalité dans la situation dans laquelle nous nous trouvons. Les choses peuvent changer en fonction des actions mises en place ». Parmi les mesures à mettre en œuvre, il conseille dans un premier temps de respecter certaines règles d’hygiène informatique. Toutefois, il rappelle qu’il ne s’agit pas uniquement de déployer des produits de sécurité. Chacune de ces mesures doit être pensée sur le long terme, sinon cela ne sert à rien. A titre d’exemple, ce serait comme si vous installiez des caméras de vidéosurveillance sans regarder les vidéos…

Afin d’accompagner les entreprises dans cette démarche, l’ANSSI a publié le 3 octobre dernier le guide « L’hygiène informatique en entreprise - Quelques recommandations simples ». Ce précis d’hygiène informatique vise en treize étapes, soit 40 règles concrètes, à assainir votre système d’information. Suite à sa parution, un appel à commentaires a été ouvert pendant plus d’un mois dans une logique d’amélioration continue. Ce guide a suscité de nombreux commentaires, laissant souvent place au défaitisme quant à la réalisation et la mise en œuvre de l’ensemble de ces mesures. Toutefois, comme l’explique Patrick Pailloux, l’essentiel reste dans un premier temps que chaque entreprise se fixe des objectifs qu’elle pense réalisables. L’important est de commencer par quelque chose, même si elle ne met pas en œuvre l’ensemble des mesures présentes dans ce guide. La version définitive de ce précis sera publiée prochainement sur le site de l’ANSSI.

La cyberdéfense : une affaire de spécialistes…

Il conseille également aux entreprises de faire appel à des spécialistes pour assurer leur cyberdéfense, afin de bénéficier d’une surveillance en temps réel 24/7 de leur patrimoine et d’une gestion des alertes. A posteriori, on se rend souvent compte en cas d’attaque qu’il y avait eu au préalable des signaux.

« L’état n’aura jamais les moyens d’intervenir partout, tout le temps. Notre mission, c’est de vous aider, mais pour vous aider, il faut que vous vous aidiez aussi. Pour ce faire, vous pouvez vous référer aux différents guides édités par l’ANSSI. C’est votre rôle d’utiliser les recommandations que nous faisons. Enfin, il faut garder à l’esprit que la cyberdéfense est une affaire de spécialistes. Alors faites appel à eux ! », conclut-il.