Elliott n’aurait pas fait mieux (© USA Network)

featuredImage

Acyma, une nouvelle plateforme pour aider les victimes de crimes informatiques

Le site développé par l’Agence nationale de la sécurité des systèmes d'information (Anssi) permet aux victimes de piratage de porter plainte et de trouver rapidement des prestataires de service informatique.

150517-wannacry-m

L’heure où la sécurité informatique ("infosec", dans le jargon) était réservée aux seuls employés des directions de services d’information (DSI) des entreprises - comprenez : trois ingénieurs réseaux terrés dans un placard jouxtant les serveurs au sixième sous-sol d’une tour de multinationale - appartient bel et bien au passé. Avec la recrudescence et la diversification des types de menaces informatiques, protéger ses données personnelles est devenu une préoccupation de quiconque utilise un ordinateur connecté à Internet, soit 82 % des Français en 2016.

Consciente de la nécessité de répondre à ces nouveaux risques pour rassurer l’internaute hexagonal, l’Agence nationale pour la sécurité des services d’information (Anssi) a lancé ce mardi 30 mai une nouvelle plateforme de lutte contre la cybercriminalité, à l’adresse www.cybermalveillance.gouv.fr. Un groupement d’intérêt public (GIP) baptisé Action contre la cybermalveillance (ACYMA), qui mélange fonds publics et privés, gèrera et développera le système, testé de juin à octobre dans la région des Hauts-de-France, avant d’être étendu à tout le territoire. Dotée d’un budget d’un million d’euros pour cette année, la plateforme croîtra ensuite à 2,5 millions d’euros, dont 25 % de fonds publics en 2019.

Un annuaire et des fiches conseils

Objectif de cette nouvelle plateforme Web : permettre aux victimes de rançongiciels comme WannaCry, d’arnaques aux emails, de vol et de corruption de données, de spams ou d’attaques de déni de service (DDoS), de porter plainte et d’être mises en relation avec des prestataires de service locaux capables de résoudre ce type de problème informatique. Contrairement au travail classique de l’Anssi - la protection des intérêts stratégiques de l’État vis-à-vis des attaques informatiques -, l’initiative est tournée vers les particuliers, les TPE et les PME, souvent démunis face à ces nouvelles menaces numériques. La mission est simple : proposer un éventail de solutions, mieux identifier les victimes et sensibiliser la population à la sécurité de ses données via un seul et même service.

Pour Guillaume Poupard, directeur général de l’Anssi, le lancement de la plateforme répond à un constat alarmant : l’urgence d’agir contre la cybercriminalité est déjà là car "les victimes se multiplient", particulièrement chez les PME. "Une PME attaquée, c’est un fait divers", explique-t-il, mais "5 % des PME qui ferment, c’est l’intérêt de la Nation qui est menacé." Concrètement, voilà comment s’articule le système : lorsque vous êtes victime d’un virus, disons WannaCry, la plateforme vous proposera un annuaire d’entreprises capables de vous sortir du pétrin. Chaque prestataire sera référencé et noté par les usagers, à la manière de TripAdvisor ou Yelp. Les tarifs varient en fonction des prestataires mais à titre d’exemple, réinstaller un système entier coûte environ une soixantaine d’euros.

Au rang des interrogations, on peut légitimement se demander comment l’État va valider la légitimité des prestataires sélectionnés : pour le moment, il suffit à l’entreprise de répondre à quelques questions, de lire une charte d’engagement et d’entrer quelques renseignements pour apparaître sur l’annuaire… et c’est tout. À l’Anssi, on assure que le marché s’autorégulera grâce au système de notation tout en répétant faire "du référencement, pas de la labellisation". C’est probablement vrai, mais ça signifie néanmoins que certains usagers se feront fatalement avoir. Une labellisation active du gouvernement aurait été plus compliquée à mettre en place, aurait coûté plus cher et nécessité beaucoup plus de temps - un luxe que la France n’a plus au vu de la situation, rappelle Guillaume Poupard -, mais aurait été bien plus rassurant pour les usagers. Tant pis, c’est déjà mieux que rien : en une journée d’activité, la plateforme a déjà enregistré 350 inscriptions de prestataires.

Vers un "risque cyber" assuré ?

Côté prévention et sensibilisation, la plateforme s’arme également d’un Observatoire du risque numérique avec l’objectif de mieux quantifier, dans les années à venir, l’ampleur de la menace. Pour le moment, explique l’Anssi, les victimes de piratage portent très rarement plainte, et l’Agence reconnaît que "les chiffres sont très flous". En offrant aux victimes la possibilité de s’identifier plus facilement, de manière anonyme ou non, l’Anssi pourra mieux quantifier l’échelle de la menace. Avant d’y répondre par des solutions concrètes, comme le fait de faire rentrer le "risque cyber" dans les contrats d’assurance, au même titre que le cambriolage, prédit Guillaume Poupard. Voire, dans un avenir plus lointain, mettre en place un système de labellisation européenne des appareils électroniques en fonction de leur politique de sécurité - à la manière des normes écologiques désormais présentes sur les appareils électroménagers, les voitures, les bâtiments, etc.

Enfin, concernant la sensibilisation du risque informatique à l’échelle nationale - chose dont nous sommes encore très, très loin -, la direction de l’Anssi a prévu le lancement de campagnes de sensibilisation "sur le modèle de la sécurité routière". Spots TV spectaculaires, slogans anxiogènes, affichage en 4 par 3 dans les rues des villes avec les mots "virus", "données" et "sécurité" en énormes lettres rouges ? L’Agence n’a encore rien divulgué. Pour le moment, côté sensibilisation, la plateforme offre plusieurs fiches thématiques qui détaillent les bonnes pratiques de la sécurité des données, tant sur ordinateur (ne pas ouvrir n’importe quel email, s’équiper d’antivirus, repérer les liens potentiellement dangereux) que sur mobile (avoir un mot de passe sur son appareil, par exemple). Une nouvelle étape dans la stratégie nationale de défense contre ce nouvel arsenal de menaces informatiques, qui pourrait avoir de plus en plus d’impact sur la société civile si la population n’est pas formée aux risques. Pour les plus curieux, l’Anssi mettait également en ligne, mi-mai, une formation en ligne plutôt bien foutue, SecNumAcadémie, pour apprendre à protéger son matériel informatique. Savoir, c’est déjà résister.

Par Thibault Prévost, publié le 30/05/2017