Un annuaire et des fiches conseils
Objectif de cette nouvelle plateforme Web : permettre aux victimes de rançongiciels comme WannaCry, d’arnaques aux emails, de vol et de corruption de données, de spams ou d’attaques de déni de service (DDoS), de porter plainte et d’être mises en relation avec des prestataires de service locaux capables de résoudre ce type de problème informatique. Contrairement au travail classique de l’Anssi – la protection des intérêts stratégiques de l’État vis-à-vis des attaques informatiques -, l’initiative est tournée vers les particuliers, les TPE et les PME, souvent démunis face à ces nouvelles menaces numériques. La mission est simple : proposer un éventail de solutions, mieux identifier les victimes et sensibiliser la population à la sécurité de ses données via un seul et même service.
Pour Guillaume Poupard, directeur général de l’Anssi, le lancement de la plateforme répond à un constat alarmant : l’urgence d’agir contre la cybercriminalité est déjà là car “les victimes se multiplient”, particulièrement chez les PME. “Une PME attaquée, c’est un fait divers”, explique-t-il, mais “5 % des PME qui ferment, c’est l’intérêt de la Nation qui est menacé.” Concrètement, voilà comment s’articule le système : lorsque vous êtes victime d’un virus, disons WannaCry, la plateforme vous proposera un annuaire d’entreprises capables de vous sortir du pétrin. Chaque prestataire sera référencé et noté par les usagers, à la manière de TripAdvisor ou Yelp. Les tarifs varient en fonction des prestataires mais à titre d’exemple, réinstaller un système entier coûte environ une soixantaine d’euros.
Au rang des interrogations, on peut légitimement se demander comment l’État va valider la légitimité des prestataires sélectionnés : pour le moment, il suffit à l’entreprise de répondre à quelques questions, de lire une charte d’engagement et d’entrer quelques renseignements pour apparaître sur l’annuaire… et c’est tout. À l’Anssi, on assure que le marché s’autorégulera grâce au système de notation tout en répétant faire “du référencement, pas de la labellisation”. C’est probablement vrai, mais ça signifie néanmoins que certains usagers se feront fatalement avoir. Une labellisation active du gouvernement aurait été plus compliquée à mettre en place, aurait coûté plus cher et nécessité beaucoup plus de temps – un luxe que la France n’a plus au vu de la situation, rappelle Guillaume Poupard -, mais aurait été bien plus rassurant pour les usagers. Tant pis, c’est déjà mieux que rien : en une journée d’activité, la plateforme a déjà enregistré 350 inscriptions de prestataires.
À voir aussi sur Konbini
Vers un “risque cyber” assuré ?
Côté prévention et sensibilisation, la plateforme s’arme également d’un Observatoire du risque numérique avec l’objectif de mieux quantifier, dans les années à venir, l’ampleur de la menace. Pour le moment, explique l’Anssi, les victimes de piratage portent très rarement plainte, et l’Agence reconnaît que “les chiffres sont très flous”. En offrant aux victimes la possibilité de s’identifier plus facilement, de manière anonyme ou non, l’Anssi pourra mieux quantifier l’échelle de la menace. Avant d’y répondre par des solutions concrètes, comme le fait de faire rentrer le “risque cyber” dans les contrats d’assurance, au même titre que le cambriolage, prédit Guillaume Poupard. Voire, dans un avenir plus lointain, mettre en place un système de labellisation européenne des appareils électroniques en fonction de leur politique de sécurité – à la manière des normes écologiques désormais présentes sur les appareils électroménagers, les voitures, les bâtiments, etc.
Enfin, concernant la sensibilisation du risque informatique à l’échelle nationale – chose dont nous sommes encore très, très loin -, la direction de l’Anssi a prévu le lancement de campagnes de sensibilisation “sur le modèle de la sécurité routière”. Spots TV spectaculaires, slogans anxiogènes, affichage en 4 par 3 dans les rues des villes avec les mots “virus”, “données” et “sécurité” en énormes lettres rouges ? L’Agence n’a encore rien divulgué. Pour le moment, côté sensibilisation, la plateforme offre plusieurs fiches thématiques qui détaillent les bonnes pratiques de la sécurité des données, tant sur ordinateur (ne pas ouvrir n’importe quel email, s’équiper d’antivirus, repérer les liens potentiellement dangereux) que sur mobile (avoir un mot de passe sur son appareil, par exemple). Une nouvelle étape dans la stratégie nationale de défense contre ce nouvel arsenal de menaces informatiques, qui pourrait avoir de plus en plus d’impact sur la société civile si la population n’est pas formée aux risques. Pour les plus curieux, l’Anssi mettait également en ligne, mi-mai, une formation en ligne plutôt bien foutue, SecNumAcadémie, pour apprendre à protéger son matériel informatique. Savoir, c’est déjà résister.
