High-tech

Créé en septembre 2022, le Groupe de Travail « Gestion de Crise et Entraînement » mené par l’ANSSI publie régulièrement des ressources pour aider les organisations à améliorer leurs pratiques et leurs dispositifs, gérer efficacement les crises et maintenir l’activité face aux cybermenaces. Dernier outil en date : des fiches scénarios d’exercices accessibles à toutes les entreprises. Elles visent différentes typologies d’attaque : rançongiciel, supply chain, DDoS, défacement, exfiltration, systèmes industriels – OT… et donnent, pour chacune, des conseils et des points critiques à évaluer pour réussir la mise en œuvre.

S’appuyer sur des outils méthodologiques

Le groupe de travail met également à disposition des fiches pratiques pour permettre aux entreprises de s’appuyer sur des outils méthodologiques. Une fiche est ainsi consacrée aux rôles et fonctions en cas de crise d’origine cyber, qui aborde notamment la répartition claire des missions de chaque collaborateur en cas d’attaque. Une autre traite des enjeux relatifs aux technologies Cloud durant les crises cyber, par exemple son rôle de solution de rétablissement, si la sécurité est intégrée dans le déploiement.

Pour en savoir plus : https://wiki.campuscyber.fr/Crise_cyber_et_entrainement_:_m%C3%A9thodologie_d%27entrainement#Livrables

Les cyberattaques se multiplient et tous les secteurs d’activité peuvent désormais être concernés. Pourtant, un certain nombre d’entreprises, notamment les plus petites, n’ont pas encore pris conscience des enjeux de la cybersécurité. Face à ce constat, le site Cybermalveillance.gouv.fr a lancé, avec différents partenaires (Club Ebios, CPME, MEDEF et l’U2P), un groupe de travail qui a abouti à la création de l’opération ImpactCyber, qui s’articule en trois volets.

Un Mémento ImpactCyber

Le premier volet consistait à étudier la perception et la maturité des TPE-PME face à la cybermenace. Sans surprise, cette étude, réalisée par OpinionWay, a confirmé que la majorité des TPE-PME (62 %) pensent être faiblement exposées. Le 2^e volet propose de mener une campagne de communication pour rappeler aux entreprises la nécessité de se sécuriser. Des vidéos sont ainsi disponibles, notamment sur YouTube, avec des cas concrets mettant en avant les risques encourus par les dirigeants. Le dispositif se conclut par un 3^e volet composé d’un Mémento ImpactCyber, qui revient sur le décryptage des attaques et les conseils associés pour faire face à ces situations.

Pour en savoir plus : www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/impact-cyber

La version 5.0 du Bluetooth, cette technologie qui permet de connecter sans fil deux appareils sur une courte distance et d’échanger des données entre eux, datait de 2016. Elle apportait déjà une meilleure portée, un débit amélioré, une prise en charge de plusieurs flux et une écoute assistée. La dernière version de la norme va plus loin et propose notamment une meilleure efficacité énergétique. En se concentrant uniquement sur les données pertinentes transmises sur les canaux primaires plutôt que de scanner inutilement tous les canaux, les appareils équipés du Bluetooth 6.0 pourront ainsi préserver leur batterie.

Une meilleure localisation des objets

Autre amélioration : la fonctionnalité Channel Sounding, qui permet de mesurer au centimètre près la distance entre deux appareils connectés. Un atout utile pour les balises telles que les Apple AirTag, mais aussi pour la sécurité de certains usages comme l’ouverture des portes et des serrures intelligentes, en déterminant avec plus de fiabilité leur position exacte. Le Bluetooth 6.0 introduit également des améliorations dans la gestion de la bande passante en autorisant l’envoi de paquets de données plus petits, ce qui permet de réduire la latence et d’améliorer la fiabilité des transmissions, indispensable pour la réalité virtuelle, le streaming vidéo ou encore la diffusion audio en temps réel.

Son déploiement n’a pas encore fait l’objet d’une date officielle, mais il devrait intervenir dans les prochains mois. À suivre…

Pour cette 4^e édition du baromètre de la transformation numérique des TPE et PME, ce sont 10 125 entreprises, dont 6 425 TPE, qui ont été sondées. Globalement, elles sont 79 % (+3 % par rapport à l’an passé) à penser que le numérique apporte des bénéfices réels. 42 % estiment, par exemple, que le numérique permet de générer plus de profits (contre 39 % en 2023). Une entreprise sur deux déclare également qu’au moins 5 % de sa clientèle provient d’internet. Mais la peur du piratage de données reste très présente pour 49 % des dirigeants sondés qui s’en inquiètent.

Les usages de l’IA augmentent

81 % des TPE-PME interrogées ont toutefois mis en place un dispositif de cybersécurité (96 % ont un antivirus, 81 % une sauvegarde de données à l’extérieur, y compris le cloud, et 57 % des mesures et solutions de protection des locaux et des matériels). 13 % des entreprises sondées utilisent les outils d’intelligence artificielle, mais avec de grandes variations selon les secteurs. Ces outils sont ainsi plus présents dans le secteur numérique (40 %) que dans l’agriculture (4 %). Et ils sont principalement utilisés pour l’intelligence artificielle générative (10 %), les chatbots et assistants (5 %). Les solutions permettant l’automatisation de tâches, l’analyse des données ou de documents (3 % chacune) ou le contrôle qualité et la détection des anomalies (1 %) sont, quant à elles, moins répandues pour le moment.

Pour consulter le baromètre 2024 : www.francenum.gouv.fr/barometre-france-num

Vous le savez : toutes les entreprises qui utilisent des données personnelles doivent respecter le fameux règlement RGPD. Cela leur permet non seulement d’éviter des amendes ou des mises en demeure en cas de plainte ou de contrôle, mais aussi de limiter les risques en matière de cybersécurité et de valoriser leur réputation. Mais en pratique, les plus petites entreprises peuvent se sentir démunies pour appliquer ce règlement : comment choisir une base légale pour collecter et utiliser des données personnelles, travailler avec un sous-traitant, réagir à une violation de données ou encore répondre aux demandes d’exercice des droits des personnes ?

Des cas concrets duplicables

C’est pour accompagner ces entreprises que le Comité européen de la protection des données (CEPD) vient de publier un guide, téléchargeable en format web, qui aborde les points à connaître sur la protection des données, et ce en utilisant des cas concrets, duplicables quel que soit le cœur de métier de l’entreprise. Disponible en français et en anglais, ce guide contient, en outre, une foire aux questions généraliste ainsi qu’un listing des ressources proposées par les autorités en charge de la protection des données.

Pour télécharger le guide : https://www.edpb.europa.eu/sme-data-protection-guide/home_fr

La protection des informations ne concerne pas uniquement les responsables de la sécurité des entreprises. En effet, chaque collaborateur peut être la cible d’une attaque et servir de point d’entrée vers le système d’information et les données sensibles de sa société. Les dirigeants d’entreprise doivent donc impliquer chacun de ses membres dans la sécurité économique et numérique. Et pour informer le plus grand nombre sur cet enjeu, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et le Service de l’information stratégique et de la sécurité économiques (SISSE) proposent des forums partout en France.

Apporter des réponses concrètes

Ces forums visent les dirigeants, mais aussi les cadres de PME et d’ETI, et donnent lieu à des tables rondes, des témoignages… Objectif : leur apporter des réponses concrètes afin de mieux faire face aux atteintes de patrimoine matériel et immatériel des entreprises. Sont également présentés les services proposés par l’ANSSI, les CSIRT territoriaux, ou encore les dispositifs pour aider les entreprises à mettre en place des actions de sécurité numérique et économique.

Les prochaines sessions sont prévues le 19 septembre à Nantes, le 27 à Saint-Brieuc et le 8 octobre à Bastia. L’inscription, gratuite, est obligatoire.

Pour en savoir plus : https://cyber.gouv.fr/actualites/securite-numerique-et-securite-economique-prevenir-pour-ne-pas-subir

Si la numérisation est un facteur de décarbonation de certains secteurs, celui des TIC (technologies de l’information et de la communication), notamment des smartphones ou des ordinateurs, est lui-même producteur de près de 4 % des émissions totales de gaz à effet de serre (GES) dans le monde. Et cela devrait continuer à augmenter : l’empreinte carbone du numérique pourrait, en effet, tripler en France entre 2020 et 2050 si aucune mesure n’est prise. Pour réduire l’empreinte environnementale des appareils, l’industrie doit adopter des principes d’écoconception.

Atténuer l’obsolescence logicielle des ordinateurs

Dans cette optique, l’Arcep vient de publier une note mettant en avant des propositions politiques développées à partir de ses travaux sur le développement durable depuis 2019. Elle propose, par exemple, d’atténuer l’obsolescence logicielle des ordinateurs en assurant un support à long terme de leur fonctionnement systèmes. Ou encore d’étendre les exigences d’écoconception et d’étiquetage énergétique à d’autres produits numériques (par exemple, les routeurs et les décodeurs), en suivant le cadre européen existant pour les smartphones, les tablettes et les ordinateurs.

Pour en savoir plus : www.arcep.fr

L’intelligence artificielle dite « générative » permet de créer des contenus (texte, code informatique, images, musique, audio, vidéos, etc.) et de réaliser un certain nombre de tâches visant généralement à accroître la créativité et la productivité des personnes qui les utilisent. Son développement s’appuie sur l’utilisation de gros volumes de données, dont certaines peuvent être personnelles. À ce titre, pour respecter les droits des personnes sur leurs données, la CNIL livre un certain nombre de précautions à respecter.

Encadrer en amont les usages de l’IA

La CNIL recommande, par exemple, de définir en amont les usages de cette IA en créant une liste d’utilisations autorisées et de celles interdites compte tenu des risques encourus (par exemple, ne pas fournir de données personnelles au système, ou encore ne pas confier de prise de décision). Elle insiste également sur le fait de choisir un système robuste et un mode de déploiement sécurisé, en privilégiant le recours à des systèmes locaux, sécurisés et spécialisés.

La CNIL devrait de nouveau publier prochainement des recommandations sur les systèmes d’IA générative.

Pour en savoir plus : www.cnil.fr/