Usurpation d’identité, Piratage, Virus : Comment bien se protéger ?

Bienvenue dans Les mercredis connectés, votre émission dédiée à l’actu du numérique et des tendances tech, que je coanime avec Manuel Mondésir, directeur d’awitec bonsoir Manuel. 

La semaine dernière, souvenez-vous, la Région Guadeloupe a été victime d’une cyberattaque de grande ampleur. Tous les réseaux informatiques de la collectivité ont dû être interrompus pour tenter de protéger les données, une cellule de crise a été mise en place et une plainte a été déposée. 

Le phénomène, de plus en plus fréquent, peut viser les administrations, les entreprises mais aussi les particuliers ! Dans certains cas, les hackers ont réclamé des rançons à leurs cybervictimes. Comment s’en protéger ? On en parle ce soir avec nos invités Manuel : 

Oui Katleen avec nous dans le studio :

  • François FANTAISIE, Directeur Technique de la société Anvole
  • Daniel BOUTRIN, Directeur relations avec les Collectivités Locales et Directeur Projets Innovants chez Orange
  • Kruz-Marc TOM, Responsable du développement commercial à Groupama
  • Laurence BIRON, fondatrice du cabinet Up2Work

Les mercredis connectés saison 1 épisode 12, c’est parti ! 

Au cours de l’émission nous avons traité les thématiques suivantes :

Se faire arracher son sac à main en pleine rue ou cambrioler sa maison, c’est traumatisant ! Voir son compte Instagram ou Facebook détourné, son identité usurpée ou  ses données bancaires piratées ça l’est tout autant, c’est parfois pire … Car on ne sait pas vraiment qui se cache derrière et comment réagir  : certains d’entre vous ont peut-être vécu ces très mauvaises expériences numériques, d’autres boudent carrément les nouvelles technologies et internet, justement pour ne pas s’exposer à ce type de déconvenues. 

La cybersécurité est aujourd’hui un sujet majeur dans un monde où le digital s’invite dans toutes les pratiques du quotidien.

François FANTAISIE, vous êtes le directeur technique d’Anvole, une société qui accompagne la transformation numérique des entreprises et la gestion des solutions informatiques en Martinique et à Lille. Autant que la cybersécurité vous connaissez et pas qu’un peu. 

 

Aujourd’hui on a tous un peu peur de se faire pirater la carte bancaire ou son ordinateur, un peu comme on a peur de se faire braquer dans la rue, sauf que ça n’arrive pas tous les jours non plus :

Quel est aujourd’hui le niveau réel de risque en matière de cyberattaque ? Est-ce qu’on assiste vraiment à une flambée de la délinquance en ligne ?

 

François FANTAISIE s’exprime à l’antenne

Alors oui, tout à fait, on assiste à cette flambée est. En fait, on assiste à un développement, à une automatisation des attaques. Avant, il fallait avoir des compétences pour attaquer un système. Maintenant, ces services sont vendus au plus offrant. Donc dès qu’on a les moyens, on peut acheter le service et on peut attaquer n’importe qui.

Donc ce qui se passe c’est que cette systématisation des attaques et que n’importe qui peut devenir victime aujourd’hui, que ce soit le particulier ou le professionnel, personne n’est réellement ciblé, on cible tout le monde et on regarde qui est pris dans le filet. 

Alors que faire en cas de piratage d’un système informatique, que l’on soit un particulier ou un professionnel ?

François FANTAISIE répond à Katleen BILAS-COPET

Alors la première chose, c’est qu’il faut anticiper. Il est déjà trop tard si on est victime, il faut anticiper. Donc il faut avoir de bonnes pratiques pour ne pas se faire avoir.
Mais il faut aussi prendre des mesures pour se protéger, comme avoir des sauvegardes, dupliquer les informations sur plusieurs supports pour être sûr de pouvoir récupérer nos données.

Si jamais on a, on est cryptolocké par un logiciel.
Cryptolocker, c’est un virus qui va s’attaquer à vos données, qui va les chiffrer, les rendre illisibles pour vous et va vous demander notamment une rançon pour les déchiffrer. 

On a entendu des nouveaux mots peut-être que vous allez nous aider à les comprendre.

Qu’entend-on par rançongiciel ou ransomware, que faire dans ce cas ?

Demande Manuel MONDÉSIR à François FANTAISIE

C’est généralement une attaque qui vient par la messagerie, qui lance un programme, un virus malveillant et qui n’a pour but que de chiffrer nos données et de les rendre inaccessibles pour nous demander une rançon en cryptomonnaie.

D’où le nom, donc cryptomonnaies parce que c’est intraçable, donc on va avoir du mal à retrouver l’auteur de l’acte.
Donc qu’est-ce qu’on fait ? On fait attention à sa messagerie, on fait attention aux liens sur lesquels on clique et malheureusement quand ça arrive, bon, on essaie d’avoir une protection antivirus sur son ordinateur qui peut nous aider à ne pas être victime.

Faut-il payer la rançon ?

François FANTAISIE s’exprime au micro de Katleen BILAS-COPET

Alors les autorités vous diront qu’il n’est pas recommandé de payer parce que ça ne vous garantit pas que vous allez récupérer vos informations. 

Vous avez des hackers qui vous donnent les clés pour récupérer vos données. 

Il y en a d’autres qui ne vont peut-être pas vous les donner, donc vous payez peut-être dans le vent, je ne peux pas vous recommander de les payer.

Malheureusement, quand on est désespéré on paye.

C’est sur ça que l’attaquant va compter pour avoir et gagner son argent.

Donc vous disiez que le phénomène s’amplifie, les entreprises, finalement, ont-elles conscience de ce risque, notamment en Martinique ? Que mettent-elles en place pour se protéger ?  

François FANTAISIE interrogé par Manuel MONDÉSIR

Alors de plus en plus d’entreprises entendent parler d’autres entreprises qui se font attaquer, donc effectivement, il y a toute une sensibilisation qui est à mettre en place et que nous, en tant que professionnels, on accompagne sur les risques, sur les problèmes et sur les solutions. 

Mais souvent, la sécurité a un coût que l’entreprise n’a pas forcément budgétisé, n’a pas les moyens, ou n’a pas prévu de le faire tout de suite. 

Et donc, on a des décalages entre la protection et l’envie de l’entreprise de se protéger. 

Si on peut prendre l’exemple des mots de passe, parce que souvent et là je parle peut-être pour tous ces particuliers qui nous écoutent.

On demande souvent pour toute création d’un compte, des mots de passe.
Donc on en produit beaucoup quand on est un internaute et c’est peut-être un point d’entrée vers d’éventuelles cyberattaques.

Alors comment faire, est-ce qu’il faut créer des mots de passe robustes, ou bien faut-il prendre le même mot de passe parce qu’on ne veut pas l’oublier ?

Quelles sont les bonnes pratiques en matière de mots de passe ? 

François FANTAISIE au micro de Katleen BILAS-COPPET

Alors, les bonnes pratiques simples en matière de mots de passe, c’est d’abord d’avoir un mot de passe complexe et long et qui ne fait pas référence à des informations personnelles. Entre autres, celui qu’on ne retiendra jamais.

Pour s’aider, on va peut-être utiliser un gestionnaire de mots de passe qui lui va être un outil qui va générer un mot de passe aléatoire qui sera très sécurisé et qui va nous permettre alors de centraliser les informations. 

On aura une bonne pratique globalement sur toutes nos applications, tous nos outils qui sont connectés à ce mot de passe.

Alors les navigateurs web demandent quelquefois est-ce que vous acceptez qu’on retienne le mot de passe ou pas? Alors quelles sont les bonnes pratiques aussi par rapport à ça ?

Manuel MONDÉSIR questionne François FANTAISIE

Alors ça, c’est comme confier ses clefs à un inconnu.
Alors si vous faites confiance à votre ordinateur, vous savez qu’il est un minimum protégé. Ça peut vous faciliter le travail.

Mais le navigateur n’est pas infaillible, il va dépendre de la protection que vous lui appliquez. Et donc, si vous confiez vos mots de passe à un navigateur, il se peut que ce soit le navigateur, s’il a une faille, qui transmette les mots de passe à un attaquant.

Peut-on résumer rapidement pour les auditeurs qui nous écoutent, les quelques bonnes pratiques ?

François FANTAISIE prend la parole

Un mot de passe complexe, c’est minimum 8 caractères avec plusieurs caractères majuscules, minuscules chiffres et un symbole.
Il faut utiliser des mots de passe différents pour les différents services auxquels vous accédez, au lieu de réutiliser le même mot de passe à chaque fois.

De plus, de préférence, rajouter une deuxième authentification à ce mot de passe, c’est-à-dire un code par SMS, une application comme Google ou encore comme la banque vous le demande quand vous faites un virement, il vérifie avec un deuxième code que c’est bien vous qui faites la manipulation.

Ce qu’il faut savoir aussi heureusement, c’est que la législation évolue avec son temps et que désormais les consommateurs et internautes ont des droits en matière de données.

Ils bénéficient de dispositifs juridiques de plus en plus pointus qui vont protéger leurs données personnelles et notamment leurs données en ligne.

 Et les entreprises sont censées se plier à cette législation portée par le RGPD c’est-à-dire, le règlement général de la protection des données.

 

Bonsoir Laurence BIRON, vous êtes la fondatrice du cabinet Up2Work,

Merci de nous répondre en direct de Montréal au Canada, où vous êtes basé.

 

En 2 mots Laurence, que fait Up2Work ?

Laurence BIRON présente sa société à l’antenne

Up2Work, est un cabinet conseil que j’ai créé il y a 5 ans en Martinique parce que je suis martiniquaise et Up2Work accompagne les entreprises, notamment dans la mise en conformité au règlement général à la protection des données, vaste sujet depuis 2018.

Nous accompagnons également toute gestion en transformation numérique.

Alors expliquez-nous rapidement qu’est-ce que le RGPD ?

Quelles garanties cela donne aux internautes comme vous et moi ?

Laurence BIRON prend la parole

Le RGPD est une loi qui a été indiquée en 2018, c’est une loi européenne.

Son objectif est de viser la protection des données personnelles. 

Donc une donnée personnelle, c’est votre nom, votre prénom, votre photo, votre voix et bien d’autres éléments.

Précision très importante, c’est protéger vos données personnelles, que ce soit en ligne donc vous parliez des internautes, mais bien évidemment aussi en présentiel, les données dites physique.

Vous allez à la banque et vous avez le dossier de Madame X qui est qui ne vous concerne pas mais qui est affiché devant vous, qui est posé sur le bureau.

Là c’est un déficit, c’est un défaut, une défaillance en termes de protection des renseignements personnels. 

 Donc cette loi, elle s’applique sur le territoire européen, pour les citoyens européens, mais elle est aussi extraterritoriale. Ça veut dire que moi qui vit au Canada, je suis protégée aussi par le RGPD parce que je suis citoyenne européenne.

Du point de vue des entreprises, quels sont les enjeux et les risques pour les entreprises par rapport à cette nouvelle réglementation ? 

 

Laurence BIRON questionné par Manuel MONDÉSIR 

Les enjeux pour les entreprises sont multiples, qu’on soit une entreprise européenne, ou qu’on soit une entreprise étrangère, qui propose des biens et services sur l’Union européenne, ces entreprises sont concernées.

Ça veut dire qu’on demande à l’entreprise de la transparence à l’égard de ses clients. 

On demande à l’entreprise d’avoir un certain nombre de registres qui sont obligatoires et, en cas de non-respect, en fait des règles édictées par le RGPD, les sanctions sont très lourdes. Elles sont à la fois réputationnelles, financières et administratives.

Il ne se passe pas une journée sans que nous ayons à la une des magazines spécialisés aux mêmes grandes presses, des exemples de sanctions. 

Là, je regardais pour la semaine, il y a eu une sanction de l’ordre de 800 millions d’euros pour une société.

Donc, la sanction peut être très lourde et quelle que soit la taille de l’entreprise, puisque c’est un pourcentage qui est affecté au chiffre d’affaires mondial de l’entreprise. 

C’est environ ce pourcentage ?

Il va de 2 à 5 pourcents. Alors quand on a un petit chiffre d’affaires bon, nous dirons que c’est peut-être jouable mais lorsqu’on a un chiffre d’affaires important et sur plusieurs sur plusieurs continents tout de suite ça prend une envergure différente.

Les entreprises martiniquaises ne sont pas à l’abri des sanctions de la CNIL.

Comment se passe le processus de mise en conformité pour une entreprise ?

 

Laurence BIRON au micro de Manuel MONDÉSIR 

 

Il est simple, c’est important de démystifier, il faut commencer par être, très à jour sur les données personnelles que l’on traite.

Beaucoup d’entreprises vont se dire non, je ne traite pas de données personnelles. 

 Vous avez un fichier clients, des clients particuliers. Ce sont des données personnelles. On commence par faire un inventaire de toutes les données personnelles que l’on a et même des données personnelles qui sont traitées par des fournisseurs, par des sous-traitants.

Donc il faut être à jour. C’est ce qu’on appelle un audit. 

Après, on va vérifier les écarts entre ce que la loi demande et les pratiques que nous avons dans l’entreprise. Puis, on aura une feuille de route que l’on va mettre en place et donc ça peut aller à des mesures très différentes. 

 Ça peut être des mesures organisationnelles, ça peut être des mesures de sécurité physique, des mesures de sécurité informatique. Le champ est vaste. 

Alors vous, François FANTAISIE justement, qui accompagnez les entreprises, notamment en matière de transition numérique. 

 

Est-ce que vous insistez beaucoup sur la réglementation ? Est-ce que vous êtes l’ambassadeur du RGPD en incitant vos clients à se mettre en conformité ? 

 

François FANTAISIE se confie à Katleen BILAS-COPPET

 

Oui, bien entendu, on ne peut pas passer sur ça puisque maintenant tout est connecté.

 Donc la donnée est collectée à beaucoup d’endroits donc il faut forcément recommander. Nous, on se fait accompagner par des partenaires, puisqu’on n’est pas juriste, on n’est pas expert. 

On n’a pas forcément les compétences pour gérer ces process d’audit de qualification concernant les données personnelles. Mais nous, on recommande dans les traitements que les sociétés font, de vérifier s’ils sont vraiment en conformité avec le RGPD.

 

 

Ça coûte combien à peu près pour une entreprise ? Cette mise en conformité ?

 

Laurence BIRON répond à Katleen BILAS-COPPET

Nous, on fait en fonction de la réalité du marché aux Antilles Guyane

Donc il ne s’agit pas de casser les bras d’une petite entreprise.

Par exemple, on peut partir sur un budget qui commence à 1 500 euros et puis monter à des budgets qui vont là, dépasser les 30 000 à 40 000 euros.

On peut être dans une situation où on va donner les clés à l’entreprise pour comprendre les enjeux du RGPD lui donner la feuille de route et lui dire voilà, voici ta feuille de route.  

On revient dans 3 mois, dans 6 mois ou dans 9 mois pour pouvoir apprécier ta mise en conformité d’autres entreprises feront le choix d’avoir en fait un accompagnement constant. 

 

Donc c’est vraiment ça dépend du volume de données qui sont traitées et des enjeux. 

On a des clients qui sont sur la zone Antiles mais qui ont des ramifications dans toute la Caraïbe. Donc les enjeux sont différents d’une entreprise qui sans démériter, se concentrera uniquement sur la Martinique.

Merci beaucoup Laurence pour toutes ces précisions.

 

Face à l’augmentation des cyber risques, certaines compagnies d’assurances ont développé des offres spécifiques
Kruz-Marc TOM vous êtes responsable du développement commercial à Groupama.

 

Kruz-Marc TOM, votre groupe a lancé une assurance pour les entreprises pour la prévention des risques liés à la cybersécurité ?

Pourquoi avoir lancé ce produit ?

Kruz-Marc TOM interrogé par Katleen BILAS-COPPET

Parce qu’en fait, il y a une recrudescence depuis plusieurs années, comme Monsieur FANTAISIE a pu le dire des cyberattaques.
Aujourd’hui la CNIL a quantifié tout cela. On va dire que pour une cyberattaque, nous sommes à peu près à 50 000 euros pour une entreprise. 

Donc aujourd’hui, la garantie cybersécurité qui est comprise dans la multirisque professionnelle souscrite par les entreprises, est une garantie qui coûte à peu près 80 à 100 euros par mois. 

Donc je pense que le calcul est vite fait.

Autant s’assurer correctement pour pouvoir justement se prémunir de tout cela 

En quoi cela consiste-t-il ? Quelles sont les garanties ?

Qu’est ce qui ferait potentiellement qu’une entreprise se dise, il faut que je m’assure contre les risques liés à la cybersécurité ?

Kruz-Marc TOM partage son opinion

Alors pourquoi ? Parce que la cyberattaque, c’est un préjudice qui ne prévient pas. Aujourd’hui, la Cybersécurité est prise en charge dans le contrat d’assurance et est délayée sur plusieurs garanties.

Comme la gestion de crise qui permet d’avoir des consultations juridiques et des frais d’expertise, donc pour pouvoir délimiter le périmètre d’expertise également du préjudice subi par l’entreprise par rapport au type d’attaques. 

Nous avons également des frais et pertes subies par le sociétaire lors de son atteinte à son système d’information et également des frais et pertes subies également lors des réclamations par les tiers. 

Et vous voyez qu’il y a un engouement par rapport à ces nouveaux produits. Les entreprises comprennent les enjeux et se dirigent-elles vers ce type de produit ?

Kruz-Marc TOM s’exprime au micro de Manuel MONDÉSIR

Alors l’avantage qu’on a comme je vous ai dit, c’est que c’est déjà inclus dans le contrat multirisque professionnel. Donc euh, il faut que les sociétaires surtout au niveau martiniquais puissent prendre conscience qu’ils bénéficient de cette garantie de cette sécurité aussi. 

Quand vous voyez qu’aujourd’hui, la plupart des personnes qui sont sur les réseaux sociaux ont quelquefois des atteintes, des faux comptes également des atteintes à leur site internet, des extorsions mais également des atteintes à la notoriété et à l’image de leur entreprise, c’est pour moi une garantie essentielle dans le contrat. 

Au niveau de cette assurance cyber, est-ce qu’il y a des prérequis pour les entreprises à mettre en place pour qu’elles soient prises en charge par vos services et par votre produit ? 

Est-ce qu’ils ont des obligations informatiques ?

Kruz-Marc TOM interrogé par François FANTAISIE

Alors tout à fait, justement, il faut répondre aux exigences de la RGPD qui oblige d’avoir un système d’information très viable pour pouvoir bénéficier des conditions d’assurances.

Alors preuve que la cybersécurité, c’est vraiment le cœur du sujet aussi, il y a des formations spécialisées qui ont vu le jour, comme cette formation licence informatique, option cybersécurité, lancée l’an dernier par Orange en partenariat avec la CCIM, le CNAM et le MEDEF. 

Bonsoir Daniel BOUTRIN vous êtes directeur relations avec les collectivités locales et directeur projets innovants chez Orange.

Quelles sont les spécificités de cette licence ?

Daniel BOUTRIN s’exprime à l’antenne

Alors, en fait, cette licence a vu le jour justement, au regard des différents impacts ont été évoqués à l’instant. Donc, en matière de cybersécurité, on s’est focalisé sur l’enjeu des compétences, donc ses compétences, elles sont nécessaires au sein de chacune des entreprises pour pouvoir justement se préparer ou palier à des attaques. 

Donc elle a une spécificité qui est la suivante, c’est qu’elle est en entreprise. 

Donc vous avez des apprenants qui sont présents dans leur entreprise et qui continuent à apprendre en même temps.

Et donc, on s’est focalisé sur le CNAM, qui assure les compétences théoriques et les entreprises qui assurent la montée en compétences opérationnelles.

Qu’apporte Orange au projet ? 

Daniel BOUTRIN  interrogé par Manuel MONDÉSIR

En fait, au-delà de cette formation, Orange est spécialisée dans le domaine de la cybersécurité puisqu’on apporte des solutions aux entreprises, aux collectivités, on est souvent appelé pour réparer les dégâts dans les cas de figure similaire à ce qu’a vécu une grande collectivité, donc de notre zone.

Et donc ce qu’on apporte c’est d’une part l’expérience puisqu’en fait on a déjà des collaborateurs qui ont été formés par ce type de formation, donc depuis 2019, ce qu’on apporte également, ce sont des éléments qui participent au recrutement des apprenants par le biais de jeux technique et numérique qui permettent d’analyser et surtout d’avoir un profil de candidat qui corresponde aux attentes et aux enjeux des entreprises qui elles recrutent en alternance.

Alors concrètement parlez-nous de cette formation puisqu’elle a été lancée l’an dernier.

La formation est-elle déjà effective ?

Daniel BOUTRIN répond au micro de Katleen BILAS-COPPET

On a lancé la première promo en octobre 2022 donc euh donc c’est tout récent. 

On a pour objectif en 2023 d’avoir une première cohorte de jeunes de niveau BAC+3 formés en cybersécurité et qui seront prêts à travailler en collaboration avec justement des entreprises qui proposent des solutions cybersécurité mais qui vont pouvoir s’appuyer sur des compétences en interne d’entreprise.

Voilà, les débouchés sont de type à pouvoir travailler, à accompagner les entreprises et les collectivités justement dans leur lutte ou avoir dans les entreprises des référents qui ont été formés, des collectivités également. 

Il faut savoir que les quatorze apprenants qui sont en cours aujourd’hui ont trouvé à la fois des entreprises privées, des groupes plus ou moins importants, mais également des collectivités et même des collectivités très importantes qui ont compris l’enjeu.

C’est-à-dire, cet enjeu de compétences qui était anticipé bien entendu. 

Donc on est même déjà en train d’anticiper le passage supérieur pour avoir des ingénieurs cette fois-ci en cybersécurité qu’il soit capable de définir des stratégies de défense. 

Donc cette promo est déjà bouclée.

Si des gens qui nous écoutent et sont intéressés, ce sera pour l’an prochain. 

Absolument, comme cela a été indiqué tout à l’heure, il y a un mot qui est important, c’est le mot anticipation. 

Donc il est important d’anticiper dès aujourd’hui ses besoins, ses moyens pour les budgétiser dans les entreprises qu’on a évoqués tout à l’heure des problèmes de budget, mais également pour les jeunes qui nous écoutent et qui se posent des questions sur leur future orientation. 

Et donc ça se prépare. Plus on se prépare tôt, plus on est prêt. 

Alors quelques petites infos pratiques de Manuel. 

Si on est victime d’une cyberattaque piratage de données bancaires par exemple une usurpation d’identité, il y a un site de référence qui peut aider.

C’est  https://www.cybermalveillance.gouv.fr/

Alors moi je trouve que c’est un site qui est vraiment très bien. 

Sur ce site donc qui est réalisé par l’État, par le gouvernement, vous allez trouver beaucoup de cas pratiques à la fois pour les entreprises, pour les particuliers et les collectivités, pour des réponses justement pour certains cas que l’on a traités aujourd’hui alors ça va pas en profondeur mais c’est déjà quand même une très bonne base pour se mettre à jour sur les risques de cybersécurité.

Alors on arrive au terme de cette émission, c’était très agréable d’échanger avec vous, à mercredi prochain pour de nouvelles actualités sur le digital et les tendances technologiques.

S’INSCRIRE À LA NEWSLETTER MENSUELLE ↓