High-tech

Selon le panorama de la cybermenace, l’espionnage s’est maintenu à un niveau élevé en 2023, avec toutefois une augmentation importante du ciblage des individus et des structures non gouvernementales qui créent, hébergent ou transmettent des données sensibles. Autres tendances relevées : la recrudescence des attaques contre des téléphones portables professionnels et personnels visant des individus ciblés ou encore de celles réalisées par des modes opératoires associés au gouvernement russe contre des organisations en France.

Augmentation des opérations de déstabilisation

Alors que le contexte géopolitique est tendu, le panorama note également une augmentation des opérations de déstabilisation pour promouvoir un discours politique, entraver l’accès à des contenus en ligne ou porter atteinte à l’image d’une organisation. Enfin, sans surprise, l’ANSSI relève une évolution notable dans la structure et les méthodes des attaquants qui améliorent sans cesse leurs techniques pour ne pas être détectés, suivis ou identifiés, et ciblent toujours les faiblesses techniques (mauvaises pratiques, retards dans l’application de correctifs, absence de chiffrement…) pour s’introduire sur les réseaux.

Pour consulter le panorama : www.cert.ssi.gouv.fr/

Le règlement DSA (Digital Services Act) du 19 octobre 2022 rappelle que ce qui est illégal hors ligne l’est aussi en ligne. Il fixe donc plusieurs règles pour responsabiliser les plates-formes numériques et lutter contre la diffusion de contenus illicites ou préjudiciables (attaques racistes, images pédopornographiques, désinformation…), ou la vente de produits illégaux (drogues, contrefaçons…). Sont notamment visés les fournisseurs d’accès à internet (FAI), les services de cloud, les marketplaces, les boutiques d’applications, les réseaux sociaux, les plates-formes de partage de contenus, les plates-formes de voyage et d’hébergement, les grands moteurs de recherche…

Signaler facilement les contenus illicites

Plusieurs mesures sont prévues par le DSA, en fonction de la nature des services et de la taille des plates-formes, auxquelles elles doivent se conformer. Elles doivent, par exemple, proposer aux internautes un outil leur permettant de signaler facilement les contenus illicites, puis les retirer rapidement ou en bloquer l’accès. Ou encore prévoir un système de traitement des réclamations permettant aux utilisateurs dont le compte a été suspendu ou résilié de contester cette décision. La publicité ciblée pour les mineurs est aussi désormais interdite sur toutes les plates-formes. Des astreintes et sanctions pourront être prononcées en cas de non-respect.

Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE

La qualité de l’exploitation des réseaux en fibre optique (FttH) est cruciale compte tenu des services qui en sont attendus. Pour la mesurer, et pour résoudre les difficultés observées, l’Arcep a lancé, en 2019, différents travaux avec les opérateurs. Ces derniers ont présenté un plan d’action Qualité de la fibre en septembre 2022, dont le suivi est assuré par l’Arcep. En juillet 2023, elle a ainsi proposé un observatoire pour évaluer les travaux engagés sur la qualité des réseaux en fibre optique.

Taux de pannes et taux d’échecs au raccordement

L’observatoire propose deux types d’indicateurs collectés auprès des opérateurs : le taux de pannes et le taux d’échecs au raccordement. Concernant les taux de pannes, les résultats sont stables par rapport au premier observatoire. Pour les taux d’échecs de raccordement, la tendance est, en revanche, à l’amélioration sur certains territoires. Mais cette évolution doit être confirmée sur la durée, les indicateurs pouvant pâtir de variations saisonnières.

À noter que les prochaines éditions de l’observatoire devraient intégrer des indicateurs complémentaires, notamment pour mieux rendre compte de l’expérience des utilisateurs et mesurer la qualité des processus industriels réalisés par les opérateurs commerciaux lors des raccordements.

Pour consulter l’Observatoire : www.arcep.fr

Chaque année, ce sont quelques centaines de contrôles (340 en 2023) qui sont effectués par la CNIL, suite à des plaintes ou à des signalements, mais aussi en lien avec l’actualité. Pour orienter sa politique de contrôle volontaire (environ 30 % des contrôles effectués), elle définit chaque année plusieurs sujets prioritaires. Pour l’année 2024, la collecte de données dans le cadre des Jeux olympiques et paralympiques sera, sans surprise, dans son collimateur. Cet événement à envergure internationale va, en effet, attirer plusieurs millions de spectateurs et des milliers d’athlètes, ce qui va nécessiter la mise en place de dispositifs importants de sécurité. La CNIL compte bien vérifier le strict usage qui en sera fait, ainsi que celui des QR Codes pour les zones à accès restreints, des habilitations d’accès, de l’utilisation de caméras augmentées ou encore de la collecte de données dans le cadre de la billetterie.

Respect du recueil du consentement

Autre sujet de contrôle retenu en 2024 : les données des mineurs collectées en ligne, sur les applications et sur les sites prisés des jeunes, avec vérification notamment si des mécanismes de contrôle de l’âge sont mis en œuvre, si des mesures de sécurité sont prévues et si le principe de minimisation des données est respecté. La CNIL souhaite également évaluer des programmes de fidélité et tickets de caisse dématérialisés, notamment pour vérifier le respect du recueil du consentement avant toute réutilisation des données à des fins de ciblage publicitaire.

Pour en savoir plus : www.cnil.fr

Le New Deal mobile entend « généraliser une couverture mobile de qualité pour tous les Français », tant en service très haut débit mobile (4G) qu’en voix et SMS (2G/3G). Selon l’Arcep, le nombre de sites équipés en 4G a plus que doublé entre fin 2017 et fin 2022. Les opérateurs mobiles ont déployé la 4G sur 9 600 à 15 500 sites selon les opérateurs, passant ainsi la part du territoire couvert de 45 % début 2018 à 88 % au 3^e trimestre 2023. La part du territoire en zone blanche est, quant à elle, passée de 11 % à 1,9 %. Seuls 6 départements métropolitains disposent encore d’une couverture inférieure à 90 %.

Les indicateurs voix et SMS progressent aussi

Concernant le service voix et SMS, 99,5 % à 99,7 % de la population (selon l’opérateur) dispose désormais d’une couverture de qualité (contre 98,6 % à 99,3 % fin 2020). Les indicateurs de qualité vocale ont progressé également entre 2019 et 2023, et ce dans l’ensemble des zones (zones rurales, zones intermédiaires et zones denses), de +8 % et +10 %. Les débits sont également en hausse : entre 2018 et 2023, le nombre de mesures ayant relevé un débit descendant à au moins 3 Mbit/s est passé de 77 % à 88 %. Tandis que les mesures supérieures à 8 Mbit/s ont progressé fortement, passant de 64 % à 82 %.

Pour en savoir plus : www.arcep.fr

Depuis 2015, le CESIN publie chaque année son baromètre annuel réalisé par OpinionWay après sondage de Directeurs Cybersécurité et Responsables Sécurité des Systèmes d’Information (RSSI) membres de son association. Selon les derniers chiffres, le nombre des cyberattaques réussies est stable (49 %), avec principalement des attaques par phishing (60 %, mais en baisse de 14 %), et une diminution des arnaques au Président (28 %, soit -13 % par rapport à l’année précédente). Les attaques par déni de service sont, en revanche, en augmentation.

Plus de 15 solutions ou services installés

Le baromètre relève également que pour 65 % des entreprises, les attaques entraînent des conséquences sur le business, comme des perturbations de production (24 %) ou encore une indisponibilité du site web pendant une période significative (22 %). Pourtant, les entreprises ont confiance dans les solutions et services de sécurité qu’elles mettent en place (87 %). Sachant que chacune compte en moyenne plus de 15 solutions ou services installés, notamment des dispositifs EDR (90 %), Zero Trust (76 %), VOC (Vulnerability Operation Center 50 %) ou CAASM (Cyber Asset Attack Surface Management 34 %). 7 entreprises sur 10 ont également des contrats de cyberassurance.

Pour en savoir plus : www.cesin.fr

Les entreprises doivent obligatoirement sécuriser la gestion des données personnelles qu’elles récupèrent, sous peine de sanctions prononcées par la CNIL. En 2022, près d’un tiers des sanctions ont été prononcées par la CNIL pour des manquements à cette obligation. Or, de plus en plus d’entreprises font appel à des fournisseurs de solutions informatiques en nuage (cloud), ce qui ne les exonère pas de cette obligation. Elles sont donc amenées à s’interroger face aux nombreuses offres existantes sur le marché avec des prestations différentes. Pour les aider dans leur choix et leur permettre de trouver l’approche en matière de sécurité la plus adaptée à leurs besoins, la CNIL vient de publier deux fiches de conseils.

Des outils pour sécuriser le cloud

La première fiche est consacrée au chiffrement des données sur le cloud. Elle détaille les différents types de chiffrement (chiffrement au repos, chiffrement en transit, chiffrement en traitement, chiffrement de bout en bout…) et indique pour chacun les enjeux et problématiques spécifiques. La deuxième fiche s’intéresse aux outils pour sécuriser un service cloud. Sont ainsi passés en revue les différents produits de sécurité nécessaires pour sécuriser un service cloud, avec les points de vigilance pour ces différents produits.

D’autres fiches devraient suivre, toujours dans l’objectif de donner des clés de compréhension aux entreprises pour mieux choisir leurs solutions numériques.

www.cnil.fr/

Expliciter les enjeux de la remédiation, proposer les principaux piliers doctrinaux, fixer les bases de l’organisation et des actions techniques associées, tels sont les objectifs que poursuivent les Guides proposés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Selon elle, même si la remédiation d’un incident cyber majeur modifie pendant plusieurs semaines, voire pendant plusieurs mois, le cycle de vie du système d’information et touche de nombreux métiers, une action bien pilotée peut donner l’opportunité à l’entreprise de s’améliorer significativement.

Un guide pour chaque étape

C’est pourquoi l’ANSSI vient de publier trois guides téléchargeables gratuitement qui s’articulent autour de 3 étapes :
– le volet stratégique : les enjeux de la remédiation pour une organisation affectée par un incident de sécurité ;
– le volet opérationnel : les principes du pilotage et de la mise en œuvre du projet de remédiation ;
– le volet technique : les exigences techniques pour une opération spécifique dans un projet de remédiation.

Ces guides intègrent les retours de la communauté cyber provenant d’un appel à commentaires public. Ils devraient s’enrichir progressivement de nouveaux contenus.

Les guides sont téléchargeables sur le site cyber.gouv.fr/