Non, les cyber-attaques ne ciblent pas que les entreprises
« Mes données n’intéressent personne, je ne peux pas être la cible d’une cyber attaque ».C’est bien souvent la réponse qu’on entend lorsque l’on parle du risque de piratage et des précautions à prendre pour l’éviter. Et pourtant, dans un monde aussi interconnecté que le nôtre, il est dangereux de se penser hors de portée.Jean-Pierre Dandrieux, Senior Partner chez Cognitive Companions, nous explique pourquoi chacun de nous individuellement est une cible, pourquoi nous ne nous en rendons pas toujours compte, et comment nous protéger.
Nous sommes tous des icebergs de data
Une simple case cochée et nous acceptons des conditions d’utilisation, activons des cookies et partageons des données. En réalité, les informations que l’on cède ne représentent que la partie émergée de l’iceberg de données qui constituent chaque individu. Iceberg qui s’avère aisément piratable… En effet, il est relativement simple de se procurer un kit d’espionnage sur le web qui permet de pirater n’importe quel téléphone, et donc d’écouter les conversations, de recueillir des informations diverses et variées. Considérer que nos conversations privées n’intéressent personne est un mauvais raisonnement. Aujourd’hui, tout le monde va au bureau avec son téléphone personnel, et les logiciels de hacking peuvent se répandre sur d’autres appareils (téléphone professionnel par exemple) et/ou cloner une carte SIM et ainsi mettre en place un système d’écoute. Penser que notre position dans une entreprise n’est pas suffisamment stratégique n’est pas non plus un argument valable. C’est la loi du réseau : dans notre cercle de niveau 1, il y a forcément quelqu’un qui détient une information sensible qui peut être recherchée. Les hackers sont parfois de véritables détectives, ne l’oublions pas !
Quand nos biais cognitifs se jouent de nous
Notrevigilance dépend du niveau de risque que nous percevons. Moins la menace nous sembleforte, plus notre vigilance sera faible. L’étude du risques’effectue selon deux paramètres : d’une part le « risque objectivé »qui repose sur un travail scientifique rationnel (incluant la probabilitéd’apparition et les dommages potentiels), et d’autre part, le « risqueperçu » qui s’établit par rapport à nos propres référentiels culturels etpsychologiques. Et c’est finalement lorsqu’il y a décalage entre ces deuxvisions du risque que nous le sur- ou sous-évaluons. Dans un environnementsauvage, les biais cognitifs sont un atout car ils boostent les capacitésd’analyse et de réaction des individus. A contrario, dans nos sociétéscontemporaines, ils peuvent nous pousser à prendre des décisions peurationnelles. Dans le cadre de notre propre cybersécurité (et doncindirectement de celle des autres), ils ont souvent tendance à nous donner unevision distordue de la réalité, et à amoindrir notre conscience du risque.
Les must-do simples et efficaces en matière de cybersécurité
Et pourtant, certaines actions sont faciles à mettre en place de façon individuelle pour assurer un minimum de cybersécurité. Voici quelques must-do :
- Utiliser un VPN (Virtual Private Network)pour sécuriser les liaisons entre réseaux. Cela est surtout essentiel dans les situations de télétravail.
- Activer antivirus et firewall pour filtrer les connexions et détecter les malwares.
- Utiliser les navigateurs les plus sécurisés, comme Firefox ou Tor.
- Mettre à jour régulièrement le système d’exploitation de son ordinateur.
- Dans le cas du travail distant, privilégier les connexions avec un câble plutôt qu’avec un réseau wifi (qui peut être facilement piraté).
- Sécuriser les mécanismes d’authentification et utiliser des mots de passe complexes (et différents en fonction des outils et plateformes).
Ces pratiques, relativement simples à implémenter, peuvent constituer un premier barrage efficace aux attaques.
Si en effet pirater vos photos de vacances n’est pas l’objectif premier des pirates informatiques, il ne faut pas négliger le risque d’intrusion dans vos différents appareils, d’autant que les attaques peuvent être directement dirigées contre vous ou votre entreprise, ou vous utiliser comme porte d’entrée pour atteindre une autre cible. La sécurité d’une entreprise s’envisage dans sa globalité, et doit prendre en compte tous les éléments du système, y compris les comportements individuels et la perception collective du risque !
*https://www.cairn.info/des-risques-et-des-hommes--9782130736295-page-71.htm
