Par Stéphane ASTIER et Axelle POUJOL
Dans son rapport annuel publié en avril 2019, l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) met en garde les entreprises contre les opérations de déstabilisation et d’influence, qui représenteraient aujourd’hui l’un des cinq risques majeurs pour les entreprises.
1. Qu’entend-on par opération de déstabilisation et d’influence ?
Les opérations de déstabilisation et d'influence ont été particulièrement nombreuses en 2018, a noté l'ANSSI. Ces attaques, généralement peu sophistiquées, visent à déstabiliser symboliquement des entreprises en nuisant à leurs activités.
Les conséquences concrètes de ces opérations peuvent aller de la simple indisponibilité du service impacté au sabotage complet[1], mais aussi à la diffusion massive par des robots de fake news. Ces derniers représentent en effet plus de 50% du trafic sur internet, et les « mauvais bots » sont désormais légions[2].
Au-delà de leur impact sur les systèmes informatiques, ces opérations sont susceptibles d’engendrer de graves conséquences pour les entreprises : atteinte à la réputation, fragilisation du système informatique, perte de confiance des clients et des partenaires et baisse consécutive du chiffre d’affaires…
Si certains secteurs sont particulièrement visés par des cyber-attaques de déstabilisation et d’influence comme les secteurs de la santé, de la défense ou de l’énergie, toute organisation publique ou privée est exposée au risque informatique. Ainsi, en début d’année, 92% d’entreprises déclaraient avoir été victimes d’une ou plusieurs attaques informatiques[3].
2. Comment se prémunir contre ce type de cyberattaque ?
Afin de lutter contre ce type d’opérations, il convient d’une part de protéger son système informatique par des mesures adaptées, afin de prévenir le risque cyber et d’autre part d’organiser la gestion des crises en cas de cyber-attaques.
-
Anticiper les attaques : des mesures organisationnelles et techniques adaptées
Avec la recrudescence des opérations de déstabilisation et d’influence et les conséquences néfastes de celles-ci, les entreprises doivent prendre des mesures adaptées afin de se protéger mais aussi afin d’éviter des sanctions pour non-respect des législations en matière de cybersécurité et de protection des données personnelles.
Un certain nombre de mesures techniques et organisationnelles peuvent être prises à titre préventif, afin d’identifier et pallier les failles de sécurité potentielles exploitables :
- Adoption d’une démarche globale de « Security by design» (sécurité dès la conception) et élaboration d’un référentiel sécurité adapté ;- Sensibilisation interne du personnel à la sécurité informatique et à la protection des données ;
- Désignation d’un DPO (Data Protection Officer) ;
- Réalisation d’études d’impact sur la vie privée pour les traitements de données les plus sensibles ;
- Réalisation d’audits techniques et juridiques de sécurité ;
- Mise à disposition d’accords sur la protection des données présentant une politique de sécurité complète ou des garanties d’assurance spécifiques;
- …
-
Organiser la gestion du cyber-risque : adapter sa communication
En cas d’opération de déstabilisation ou d’influence, la communication autour de l’attaque subie par l’entreprise sera essentielle. Il s’agira ici de gérer les conséquences d’une attaque vis-à-vis du déficit de confiance des clients et des partenaires. A titre d’exemple, l’entreprise Altran, à la suite d’une attaque informatique, a décidé de communiquer sur sa gestion du risque cyber[4] afin de prévenir les impacts négatifs de l’attaque dont elle a été victime.
Deux raisons principales fondent la nécessité d’adapter sa communication en de telles hypothèses :
- Avec l’entrée en vigueur du règlement général sur la protection des données (RGPD), la notification à la CNILet dans certains cas aux personnes concernées de failles de sécurité liées aux données personnelles est devenue obligatoire[5] ;- Avec la multiplication des cas d’attaque et une sensibilisation plus forte du public à ce danger, communiquer permet à l’entreprise de démontrer qu’elle s’est armée contre ce type de risque et que sa réaction a été exemplaire. C’est bien la confiance et l’optimisation de la réputation de l’entreprise qui seront ici recherchées.
Dans le cas d’opérations de déstabilisation ou d’influence, la communication sera donc au cœur des dispositifs destinés à contrer le but recherché par les auteurs de ces attaques.
Avec le cyber-espionnage, les attaques indirectes ou par rebond, le cryptojacking et les fraudes en ligne telles que les arnaques par mail, les opérations de déstabilisation et d’influence font partie des cinq menaces majeures identifiées par l’ANSSI dans son dernier rapport.
Chaque organisme doit donc redoubler de vigilance face à la recrudescence de ce type de menace et prendre toute mesure utile destinée à prévenir de tels risques. Au-delà de sa protection et du respect de ses obligations légales, l’organisme pourra chercher utilement à valoriser ces dispositifs de prévention à travers une communication orientée vers la confiance : différenciation concurrentielle, structuration, bonne gouvernance et perspectives de développement seront ici directement en ligne de mire.
*
* *
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt ans en droit des nouvelles technologies et de la propriété intellectuelle. Le département cybersécurité accompagne de nombreux acteurs du secteur public comme du secteur privé dans le cadre de la mise en place de dispositifs dédiés à la gestion du risque cyber et à la protection des données. Pour en savoir plus, contactez-nous ici.
[1] https://www.latribune.fr/entreprises-finance/industrie/aeronautique-defense/les-cinq-grands-fleaux-du-cyberespace-en-2018-selon-l-anssi-814344.html
[2] https://www.sciencesetavenir.fr/high-tech/web/sur-internet-les-robots-causent-plus-de-50-du-trafic_110267
[3] https://www.mag-securs.com/news/id/45146/sondage-opinionway-cesin-92-des-entreprises-ont-ete-attaquees-une-ou-plusieurs-fois.aspx
[4] https://www.lemonde.fr/pixels/article/2019/01/28/le-groupe-de-technologies-francais-altran-frappe-par-une-cyberattaque_5415893_4408996.html
[5] Cf. art. 33 et 34 du RGPD