Risque cyber : 12 questions-réponses pour comprendre les principaux enjeux

Qu’est-ce qu’une donnée personnelle ?

Selon l’article 2 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, une donnée à caractère personnel représente toute information à propos d’une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, à l’aide d’un numéro d’identification ou d’un ou plusieurs éléments qui lui sont propres.

Quelles sont les cyberattaques les plus fréquentes ?

Les dénis de service, les crypto logiciels, les rançongiciels ainsi que les logiciels malveillants sont les moyens les plus fréquents d’attaque informatique.

Que signifie un déni de service ?

Une attaque par déni de service, ou attaque par déni de service distribué, consiste à saturer les capacités de traitement d’un système d’information ou d’un site internet à partir d’autres machines infectées afin de le rendre incapable de répondre aux requêtes des utilisateurs.

Qu’est-ce qu’un crypto logiciel ou rançongiciel ?

Un crypto logiciel, un rançongiciel ou encore un ransomware sont des programmes malveillants qui codent les données d’un système d’information. La clé de décryptage est le plus souvent transmise après paiement d’une somme sous forme virtuelle, telle que les bitcoins.

Qu’entend-on par logiciel malveillant ?

Un logiciel malveillant est un programme qui affecte le fonctionnement d’un système d’information. Les logiciels malveillants sont également appelés « virus », « vers », « chevaux de Troie », etc.

Mon entreprise est-elle totalement protégée si mon environnement bureautique est sécurisé ?

Non, pas complètement.

Selon les cibles visées, les pirates informatiques, ou « hackers » en anglais, peuvent aussi s’attaquer à votre informatique de gestion, telle que la comptabilité ou les fichiers du personnel, à votre informatique de process, comme les automates, mais également à vos installations de sécurité et de sûreté.

Le wifi, le Bluetooth ou les objets connectés représentent-ils un risque ?

Oui, ce sont des failles exploitables.

Vos données entrantes et sortantes de vos systèmes d’information sont très facilement accessibles via le wifi ou le Bluetooth, si elles ne sont pas cryptées de manière suffisamment sécurisée. Les objets connectés, quant à eux, multiplient les voies d’accès aux données et aux systèmes d’information de votre entreprise. Ce sont donc des failles que les pirates informatiques sont susceptibles d’exploiter.

Qu’est-ce que le « BYOD » ? Quels sont les risques liés à son utilisation ?

« Bring Your Own Device », ou « BYOD », signifie en français « apportez vos appareils personnels » afin de les utiliser à des fins professionnelles.

La sphère personnelle, présumée bien moins protégée et hors de contrôle de l’entreprise, mélangée au cadre professionnel, augmente les risques d’incidents informatiques. Les moyens d’accès aux données et aux systèmes d’information de votre entreprise, et donc les failles exploitables par des pirates informatiques, se multiplient à la suite de l’utilisation de « BYOD ».

Le cloud représente-t-il un risque ?

Oui. L’exploitation de systèmes d’information distants par l’intermédiaire d’un réseau, notamment interne, se traduit par l’hébergement de données à distance. Cette externalisation peut compromettre la maîtrise de données ou de tâches. Les risques de cette démarche doivent être analysés par votre entreprise. Une réflexion doit également être menée sur les conditions et les outils essentiels pour garantir la sécurité de ce service fourni par une entreprise prestataire.

Comment la cybercriminalité est-elle juridiquement punie ?

En France, un ensemble d’articles qualifie les infractions spécifiques aux technologies de l’information et de la communication, notamment :

• les articles 323-1 à 323-7 du Code Pénal concernant les atteintes aux systèmes de traitement automatisé de données (accès ou maintien frauduleux, entrave au fonctionnement, détention de matériel ou logiciel spécifique, groupement formé ou entente établie),
• les articles 226-13 à 226-20 du Code Pénal à propos des infractions à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (collecte frauduleuse, traitement de données à caractère personnel, usurpation d’identité numérique),
• les articles L163-3 à L163-12 du Code Monétaire et Financier concernant les infractions aux cartes bancaires (contrefaçon, falsification de moyens de paiement, détention de matériel ou logiciel spécifique),
• l’article 434-15-2 du Code Pénal relatif aux infractions au chiffrement (refus de remettre une clé de déchiffrement ou de la mettre en œuvre),
• les articles 226-1 à 226-4 du Code Pénal sur la violation de la vie privée par captation via un dispositif technique, la divulgation publique d’un enregistrement privé, la conception, l’importation, la location, la détention et l’offre d’outils de captation de la vie privée et des correspondances.

Qu’est-ce que l’ANSSI ?

L’ANSII est l’acronyme pour l’Agence Nationale de la Sécurité des Systèmes d’Information. Créée en 2009, elle représente l’autorité nationale pour la sécurité et la défense des systèmes d’information en France. L’ANSII aide les administrateurs, les acteurs économiques et le grand public dans la transition numérique. Elle se charge également de la promotion des technologies, des systèmes et des savoir-faire français en France et en Europe.

Qu’est-ce que la CNIL ?

La Commission Nationale de l’Informatique et des Libertés a été créée en 1978 par la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés afin de contrôler l’utilisation des données personnelles.

Elle doit s’assurer, en tant qu’autorité administrative indépendante, de la protection et de la bonne gestion des données personnelles tout en accompagnant les entreprises et les particuliers lors de l’utilisation des nouvelles technologies.

La CNIL travaille main dans la main avec ses homologues européens du G29 et internationaux dans le but d’harmoniser la régulation du traitement des données personnelles.