Les entreprises et les institutions du secteur public traitent régulièrement des données sensibles convoitées par les cybercriminels. Afin de protéger ces données, LockSelf propose un coffre-fort numérique et une interface unique pour protéger et partager les données des collaborateurs grâce à un chiffrement de pointe reconnu par l’ANSSI. Pierre Rangdet, Responsable des Opérations chez LockSelf, revient sur les nouveaux enjeux de la cybersécurité pour le secteur public.
“Pour les collectivités comme pour les hôpitaux, nous sommes sur une moyenne d’un ransomware par semaine”, alerte Pierre Rangdet. Selon lui, si la digitalisation crée évidemment de la valeur, elle crée aussi de nouveaux risques en matière de cybersécurité. Et ces risques sont accentués par des événements conjoncturels comme la crise sanitaire et le télétravail. Il est donc nécessaire d’intégrer ces risques dans la construction de nouveaux process et d’adapter les usages personnels en conséquence pour protéger les données sensibles.
Données, infrastructures et souveraineté
Pour Pierre Rangdet, il est possible de distinguer trois niveaux nécessitant une intervention spécifique pour répondre efficacement aux enjeux de la cybersécurité : la protection des données, la sécurisation des infrastructures et la souveraineté de la donnée.
La protection des données implique la capacité des structures à “prévenir les fuites en identifiant les données clefs et en les chiffrant à l’aide d’outils spécifiques“, précise-t-il. Nous faisons face à la multiplication des ransomwares. Des assaillants tentent d’infiltrer les systèmes d’information en s’appuyant sur des points d’entrée. Une fois à l’intérieur, ils peuvent chiffrer les données pour les rendre inutilisables, voire bloquer certains services, mais aussi divulguer les données et donc exposer les informations personnelles et sensibles. La mairie d’Angers a par exemple été victime d’une cyberattaque paralysant tous ses services informatiques. Le maire de la ville déclarait ainsi à Brut : “On s’est beaucoup plus concentrés sur le fait d’augmenter les services qu’on offrait à la population via le numérique qu’au fait de protéger l’architecture de ces systèmes.” En effet, l’ANSSI a mené 50 opérations en 2019 pour 200 opérations en 2020. Les facteurs conjoncturels comme la crise sanitaire et la démocratisation du télétravail ont donc multiplié par 4 le nombre de cyberattaques en un an.
La sécurisation des infrastructures passe ensuite par les mises à jour régulières des outils et des solutions de monitoring. “La mise en place d’une politique de gestion et de contrôle des droits d’accès est également nécessaire”, détaille le Responsable des Opérations chez LockSelf en évoquant l’exemple de l’agglomération de Tampa en Floride, victime d’un hacker qui s’est introduit dans les systèmes d’information d’une usine d’approvisionnement en eau potable. Une manœuvre qui aurait pu mettre en danger la vie de nombreux habitants en augmentant le taux d’hydroxyde de sodium, empoisonnant l’eau potable. Une autre cyberattaque importante utilisant un « ransomware » a eu lieu au mois de mai en Irlande, où le service public de santé, le HSE Ireland, a dû arrêter l’ensemble de son système informatique. Ces exemples révèlent un manque de sécurité sur les infrastructures publiques, que ce soit à l’international ou en France.
Selon lui, “l’enjeu de souveraineté est indispensable, les menaces qui pèsent sur nos organisations viennent parfois de groupes privés, mais aussi de groupes étatiques. Il faut donc reprendre en main les données du secteur public, qui font partie de notre patrimoine informationnel, en s’appuyant sur des services proposés par des acteurs français, sinon européens”. Le développement du Cloud européen GAIA-X est en cela une très bonne nouvelle. En effet, le directeur général de l’ANSSI, Guillaume Poupard, affirmait déjà au Figaro : “nous ne pouvons pas faire l’économie d’un traitement conjoint de notre sécurité et de notre souveraineté numérique.”
Pour répondre à ces trois niveaux d’exigence, l’Élysée accorde une enveloppe d’un milliard d’euros qui servira à lutter contre la croissance des menaces grâce à la formation des acteurs de la cybersécurité et la recherche de solutions techniques et technologiques capables de protéger les collectivités et les entreprises. “L’explosion des cyberattaques a été un accélérateur en termes de prise de conscience et de la maturité des organisations comme des citoyens (notamment grâce à la médiatisation) sur les sujets liés à la cybersécurité”, constate Pierre Rangdet.
Centraliser les solutions et sensibiliser les collaborateurs
Les collaborateurs sont aujourd’hui le point d’entrée plébiscité par les cyberattaquants pour rentrer dans un système d’information. Parce qu’ils n’ont pas toujours les bonnes pratiques en termes de sécurité de la donnée, ils sont les plus vulnérables aux techniques telles que “phishing” ou “man in the middle” (interception des données lors d’un échange entre deux personnes). Pour les entreprises privées ou publiques, remédier à ces vulnérabilités est devenu un enjeu crucial. Pour cela, elles peuvent choisir d’intégrer au mieux différents outils dans l’environnement de travail des collaborateurs afin de faciliter et de fluidifier les bonnes pratiques.
“Les mauvaises pratiques sont encore très présentes, comme le fait d’écrire nos mots de passe sur des Post-its accrochés à nos ordinateurs, stockés dans des fichiers Excel ou Word qui ne sont pas chiffrés, ou directement dans nos navigateurs”, explique Pierre Rangdet. Une des solutions de LockSelf consiste alors à centraliser l’ensemble des identifiants et les chiffrer dans un coffre-fort numérique. Des plug-ins permettent ensuite d’accéder aux applications en toute sécurité. Cette technique sert à réduire la surface d’exposition aux cyberattaques.
“Pour le partage de documents, nous contribuons notamment à la réduction des pratiques de shadow IT (utilisation de logiciels personnels à des fins professionnelles) en venant remplacer des outils grand public comme WeTransfer, qui est simple d’utilisation, mais qui présente des vulnérabilités sur les parties sécurité et traçabilité des données.” Pour corriger ces mauvaises pratiques, une entreprise peut choisir de proposer une alternative simple d’accès et d’utilisation à ses collaborateurs. “Chez LockSelf, nous proposons une suite de solutions de chiffrement avec un focus sur la sécurisation de la donnée et des usages des collaborateurs, profils techniques aussi bien qu’équipes métiers.” Les solutions de LockSelf (LockPass, LockTransfer et LockFiles), s’appuyant sur le Cloud certifié SecNumCloud de 3DS OUTSCALE, sont également certifiées CSPN par l’ANSSI, en plus d’être conformes au RGPD européen.
Investir pour lutter contre le “shadow IT”
De nombreux hôpitaux français utilisent par exemple des messageries sécurisées de santé comme MSSanté et APICRYPT pour faciliter le partage des documents entre établissements et les parties prenantes. L’utilisation de ces messageries est toutefois réservée aux professionnels de santé. Le reste des effectifs (équipes support, par exemple) partage ainsi des données, souvent des données sensibles, via des canaux personnels qui ne sont pas protégés.
“Aussi, certains médecins utilisent parfois WhatsApp pour échanger des photos et des données personnelles sur leurs patients. Il faut communiquer sur ces pratiques et mettre en place une nouvelle conduite du changement en proposant des solutions innovantes et simples d’utilisation pour eux”, affirme Pierre Rangdet. La prévention et la communication doivent aller de pair avec un investissement accru dans de nouvelles solutions à destination des acteurs du secteur public.
Pour LockSelf, l’objectif est d’accroître l’intégration de leurs solutions dans l’environnement de travail des collaborateurs, en apportant une couche de sécurité. “L’idée est de multiplier les intégrations sur leurs outils pour que l’expérience soit encore plus fluide et simple. Nous proposons par exemple de nombreux plug-ins compatibles avec des logiciels grand public. Nous travaillons aussi sur la partie APIsation et sur l’automatisation de certaines tâches comme l’envoi sécurisé de documents.” Ces nouveaux développements permettraient de fluidifier au maximum les processus sans l’intervention humaine et d’intégrer à la racine les problématiques liées à la cybersécurité.
L’avenir semble maintenant être du côté du “security by design”, c’est-à-dire l’intégration, dès la conception d’un outil, des exigences de RGPD et de chiffrement. Les enjeux de cybersécurité seraient ainsi intégrés en amont des projets, pour en faire une partie essentielle de leur développement.
De nouvelles initiatives solidaires voient également le jour à l’heure d’une recrudescence des cyberattaques. Cyril Bras, RSSI de la métropole de Grenoble, a lancé ainsi un réseau qui rassemble une centaine de RSSI issus des collectivités territoriales françaises. L’idée derrière la formation de ce réseau : capitaliser sur les connaissances de chacun pour faciliter l’entraide et la solidarité entre collectivités afin de protéger au mieux les données publiques.
