«Plus la transition numérique avance, plus la surface de cyberattaque augmente».
La tendance au tout numérique a considérablement accru les risques d’attaques informatiques et de désinformation. Comment s’en protéger ? À quoi faut-il être attentif ? Éléments de réponse avec Stéphane Koch, expert en sécurité de l’information.
De la protection des ordinateurs, des appareils mobiles, des objets connectés, des réseaux et des données contre les cybermenaces. Pour l’utilisateur, la cybersécurité repose non seulement sur la maîtrise des outils informatiques qu’il emploie, mais aussi sur sa compréhension et sa capacité à gérer les risques, ainsi que sur ses aptitudes numériques. Elle suppose aussi de définir le champ de sa sphère privée afin de protéger les données considérées comme telles.
Ce sont nos informations personnelles, l’accès à nos comptes en ligne, nos données de paiement, mais aussi tous les contenus dématérialisés que nous produisons, comme nos photos ou nos conversations. Il est aussi important d’être conscient de ce que l’on partage via les réseaux sociaux, les messageries ou groupes privés, les objets connectés, etc., en particulier les informations les plus intimes. Car dès lors qu’elles nous échappent, même volontairement, il est très difficile — voire impossible — de stopper leur diffusion ou de les retirer de la toile. Et plus la transition numérique avance, plus la surface de cyberattaque augmente.
C’est surtout un problème d’éducation à ce que j’appelle les «gestes barrières numériques». Ce n’est pas incriminant de dire cela, car on n’a pas forcément les moyens de s’adapter facilement à des transformations rapides. Nous sommes incités à utiliser de plus en plus de services en ligne, mais peu de choses sont faites pour nous aider à comprendre les enjeux de la cybersécurité et à apprendre à utiliser les outils de protection existants.
Elles exploitent les failles de sécurité humaines ou techniques pour accéder à des informations qui auraient dû rester confidentielles. Aujourd’hui, le risque principal provient des ransomwares (ou rançongiciels) qui capturent des données et menacent de les rendre publiques si vous, ou le service qui a été piraté, ne payez pas une rançon. Il y a aussi le cas du vol de codes d’accès, type identifiants et mots de passe: ces informations peuvent être exploitées à des fins frauduleuses ou faire l’objet d’un commerce. La désinformation, dont on parle beaucoup depuis la crise du Covid-19, est une autre menace.
Les décisions que l’on prend reposent sur l’information à laquelle on accède. Si elle est altérée, ces décisions seront sans doute mauvaises. C’est valable pour les fake news médicales qui peuvent conduire à adopter un comportement dangereux pour la santé, mais aussi pour un faux courriel bancaire demandant de communiquer des données confidentielles.
Entre autres, sur l’ingénierie sociale, c’est-à-dire des techniques de manipulation psychologique et l’exploitation de nos biais cognitifs. Les auteurs de fausses informations utilisent des facteurs de crédulité, comme le sensationnel, ainsi que la répétition
Il faut faire preuve d’esprit critique. De qui émane l’information ? Quelle est sa plausibilité ? De quand date-elle ? Ne s’agit-il pas plutôt d’une simple opinion ? Puis-je la vérifier en croisant plusieurs sources ? Quels sont mes préjugés ? Etc. Le maître mot est la vigilance.
Retrouvez tous les conseils de Stéphane Koch dans les podcasts de net+ en scannant ce code QR.
Nous ne sommes pas toujours conscients des contenus que nous avons rendus disponibles ou que nous n’avons pas verrouillés. D’où l’importance de parcourir systématiquement les paramètres de confidentialité à disposition sur nos appareils et sur les sites et applications que nous utilisons, afin de voir ce que l’on peut autoriser, et surtout refuser. Attention aussi à prendre les mesures spécifiques pour réellement effacer nos données sur les supports dont on ne se sert plus avant de s’en débarrasser.
Pour les mots de passe, il faut bannir les compositions trop simples type 123456; on recommande au minimum douze à quinze caractères combinant lettres, chiffres et signes.
Une phrase ou une expression idiomatique que l’on complexifie avec des caractères spéciaux sont aussi une bonne solution. Par ailleurs, on ne doit pas utiliser le même mot de passe pour tous ses comptes en ligne. Enfin, il est important d’activer systématiquement la double identification, c’est-à-dire de coupler le mot de passe à un code fourni au moment de la connexion via une application dédiée, un dispositif physique, voire un SMS. C’est notamment ce que font les banques.
Il vous suffit de renseigner votre adresse électronique sur l’outil de vérification en ligne de net+. Vous saurez alors si la sécurité de vos données a été compromise et, le cas échéant, sur quels sites web ou applications mobiles. Il est alors conseillé de changer immédiatement vos identifiants et mots de passe. Vous pouvez également contacter les plateformes sur lesquelles ces données ont été volées pour connaître l’étendue des dégâts et les mesures prises. Le règlement européen sur la protection des données (RGPD) les oblige à agir pour corriger les failles de sécurité.