Protection des données en entreprise : quelle stratégie à l'ère de l'IA ?

CET ARTICLE A INITIALEMENT ÉTÉ PUBLIÉ DANS ARCHIMAG N° 381 : Protection des données en entreprise: quelle stratégie à l'ère de l'IA ?

Au sommaire : 
- Dossier : protection des données en entreprise : quelle stratégie à l'ère de l'IA ?
- Data : une vigilance à chaque étape du cycle de vie
- Stratégie de protection des données : les 5 points clés

 Découvrez Le Brief de l'IT, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de l'IT, de la digitalisation et de la transformation numérique !

Au mois d’octobre dernier, Free était victime d’une cyberattaque visant les données personnelles de plus de 19 millions de comptes d’abonnés : nom, prénom, adresses électronique et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d’offre souscrite, date de souscription…).

Encore plus préoccupant, cette attaque a également compromis les informations bancaires (numéro de compte bancaire, référence IBAN) d’environ cinq millions de clients. "Comme le prévoit notamment le règlement général sur la protection des données (RGPD), Free doit informer individuellement l’ensemble des personnes concernées par cette violation de données personnelles", rappelle l’agence officielle Cybermaveillance.gouv.fr. Free a par ailleurs déposé plainte et signalé l’incident auprès de la Cnil (Commission nationale de l’informatique et des libertés).

"Dans sa nature, cette attaque vise l’infrastructure critique", explique Alain Sanchez, responsable de la sécurité des systèmes d’information chez l’éditeur de logiciels dédiés à la cybersécurité Fortinet. "Elle cherche à paralyser, à détruire et elle peut être éventuellement assortie d’une demande de rançon". Cette attaque n’est que l’un des nombreux types d’attaques que l’on constate quotidiennement.

Le point d’entrée d’une attaque réside souvent dans le hameçonnage (phishing), qui consiste à leurrer l’internaute pour l’inciter à communiquer des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance.

"L’hameçonnage est la première des portes d’entrée utilisée par les fraudeurs pour exécuter des scénarios d’attaque de plus en plus nombreux et de plus en plus insidieux", confirme Alain Sanchez. "Car ces types d’attaques ne sont pas forcément visibles au moment où ils sont commis".

Lire aussi : Loi SREN : de la confiance à la sécurité

Attaques par déni de service

La typologie des cyberattaques fait apparaître d’autres modes d’action, comme l’arnaque aux faux supports techniques, les courriels non sollicités (spam) et les virus. Certaines d’entre elles visent spécifiquement les organisations, à commencer par les rançongiciels, qui bloquent l’accès à l’ordinateur ou à des fichiers en les chiffrant et qui réclament à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. Plusieurs collectivités et hôpitaux français en ont été victimes ces derniers mois.

De leur côté, les attaques par déni de service (DDoS pour distributed denial of service) visent à rendre inaccessible un serveur par l’envoi de multiples requêtes jusqu’à le saturer, ou à exploiter une faille de cybersécurité afin de provoquer une panne ou un fonctionnement fortement dégradé du service.

Quant aux faux ordres de virement (FOVI), ils consistent à tromper la victime pour la pousser à réaliser un virement de fonds non planifié sur un compte détenu par le cybercriminel. "Les cyberattaques frappent les entreprises au quotidien", constate le spécialiste de la cybersécurité Cisco, dont l’ancien PDG, John Chambers, aimait à déclarer : "il existe deux types d’entreprises : celles qui ont été piratées et celles qui ne savent pas encore qu’elles l’ont été…"

Lire aussi : Confiance numérique et encadrement de l'IA au cœur des engagements stratégiques de la Cnil

NIS 2, une extension du périmètre sans précédent

Les pirates informatiques ont une particularité : ils ne s’arrêtent jamais. Selon Alain Sanchez, "nous assistons à des attaques d’un nouveau genre qui ont pour objectif de détruire. On les appelle dans notre jargon les “wipers”, c’est-à-dire des nettoyeurs qui attaquent non pas pour obtenir une rançon, mais pour empêcher les infrastructures critiques de fonctionner. On les a vus à l’œuvre dans les domaines de l’énergie, des transports, ou encore des établissements de santé. Face à ces menaces, la directive NIS 2 (Network and information security directive), qui va étendre la portée de la version NIS 1, arrive au bon moment". "La directive NIS 2 élargit en effet ses objectifs et son périmètre d’application pour apporter davantage de protection", confirme l’Anssi (Agence nationale de la sécurité des systèmes d’information). "Cette extension du périmètre est sans précédent en matière de réglementation cyber. Elle amène aussi les États membres à renforcer leur coopération en matière de gestion de crise cyber, en donnant notamment un cadre formel au réseau CyCLONe (Cyber crisis liaison organisation network), qui rassemble l’Anssi et ses homologues européens."

Entrée en vigueur dans quatre pays le 17 octobre dernier, la directive européenne NIS 2 n’a, à ce jour, pas encore été transposée dans le droit français. Le projet de loi de transposition a cependant été présenté en conseil des ministres en vue de sa transposition, mais aucune date n’a été fixée.

Face aux menaces récurrentes, la nouvelle directive NIS 2 est-elle à la hauteur des enjeux ? Pour Marc Lenoble, responsable des grands comptes chez Synology, l’objectif est louable : "NIS 2 s’applique désormais à plus de 100 000 entités, en couvrant plus de secteurs et en introduisant deux catégories d’organisations : les “entités essentielles”, qui incluent des secteurs critiques, comme l’énergie, la santé et les infrastructures numériques, et les “entités importantes”, qui couvrent des industries comme la production alimentaire, les services postaux et la gestion des déchets. Ces entités doivent adhérer à des mesures de cybersécurité plus strictes, améliorant la résilience et les capacités de réponse à travers l’Union européenne. La nouvelle directive assure une protection plus complète des industries clés et renforce la coordination et la supervision des efforts de cybersécurité."

Lire aussi : Cybersécurité : le Digital Operational Resilience Act (DORA) entre en application

L’IA entre en scène

Comme on pouvait s’y attendre, le monde de la cybersécurité s’est emparé de l’intelligence artificielle (IA) pour gagner en efficacité : "l’IA permet de décoder une attaque et de l’identifier en regard d’une conjonction de facteurs", précise-t-on chez Fortinet. "Elle va analyser un ensemble de données, comme l’adresse IP, les protocoles et les privilèges de l’utilisateur. En les comparant, elle est en mesure de détecter une incohérence par rapport à des schémas d’attaques déjà connus."

Chez Sosafe, la question est posée sans tabou : "la véritable bataille s’engage : qui, de nous ou des cybercriminels, parviendra à maîtriser le pouvoir des nouvelles technologies et à exploiter à son avantage la psychologie des comportements humains ?" Selon cette jeune pousse de la cybersécurité, "l’IA favorise la professionnalisation de la cybercriminalité".

Mais les éditeurs de solutions s’emparent eux aussi de l’intelligence artificielle, comme IBM, qui recourt à l’IA pour identifier les données fantômes, surveiller les anomalies dans l’accès aux données et lancer une alerte à partir d’un certain niveau de menace.

Le géant informatique déploie l’IA dans plusieurs de ses solutions, avec, à la clé, des promesses de réactivité accrue : détection proactive des menaces, analyse approfondie de la gestion des identités et des accès, distinction entre les utilisateurs légitimes et les acteurs malveillants potentiels…

En déchargeant l’humain de certaines tâches chronophages, l’IA permet également de pallier les erreurs (volontaires ou non) dues aux collaborateurs de l’organisation. Selon le cabinet OnePoint, 90 % des incidents de cybersécurité sont d’origine humaine.

Lire aussi : Panorama récent du droit du numérique : évolutions et perspectives en matière de cybersécurité

Le 17cyber, c’est aussi pour les entreprises et les collectivités

Face à l’augmentation continue des cyberattaques, la Police nationale, la Gendarmerie nationale et Cybermalveillance.gouv.fr ont lancé, au mois de décembre dernier, le site 17cyber, une initiative qui entend répondre à l’ampleur de la fraude cyber en France. En 2023, 278 703 infractions liées au numérique étaient enregistrées par les forces de sécurité intérieures, contre 255 320 en 2022. Ce n’est une surprise pour personne, les actes de cybermalveillance sont en constante augmentation depuis plusieurs années.

Le 17cyber est l’équivalent numérique du célèbre appel 17. Il est destiné à toutes les victimes d’infractions numériques : particuliers, entreprises et collectivités. "Disponible 24 heures sur 24 et 7 jours sur 7, ce guichet unique permet aux victimes de comprendre rapidement, en répondant à quelques questions, à quel type de menace ils sont confrontés et, ainsi, de recevoir des conseils personnalisés en fonction de l’atteinte subie", expliquent les promoteurs du site.

Assistance technique et démarche de judiciarisation

Après un premier diagnostic, les victimes peuvent échanger par tchat avec un policier ou un gendarme pour disposer de conseils de première urgence et engager les démarches de judiciarisation. Si cela est nécessaire, les usagers peuvent également recevoir une assistance technique d’un prestataire référencé ou labellisé par Cybermalveillance.gouv.fr.

Autre initiative, un module 17Cyber peut être directement intégré à des sites web afin de rendre accessible au plus grand nombre ce nouveau service de diagnostic et d’assistance aux victimes. L’occasion pour les utilisateurs (particuliers, entreprises, collectivités, associations…) d’effectuer gratuitement le parcours 17Cyber et de bénéficier d’une aide personnalisée.

Selon Cybermalveillance.gouv.fr, neuf Français sur dix ont déjà été confrontés à une situation de malveillance informatique, notamment à l’hameçonnage, et 55 collectivités ont été victimes d’attaques par rançongiciel en 2023.