A l’occasion des élections législatives, l’ANSSI, Agence Nationale de la Sécurité des Systèmes d’Information, a publié une liste de « 6 réflexes pour une campagne 2.0 responsable » à l’attention des candidats. Le quatrième réflexe est consacré à la protection des données personnelles des électeurs, ainsi que leur confidentialité : les candidats y sont invités à s’assurer que ces informations, et plus largement toutes celles relatives à leurs partis, sont correctement sécurisées afin de prévenir toute tentative de hacking pouvant mettre à mal la campagne. Une sensibilisation qui fait suite aux différentes attaques envers les candidats de la présidentielle et qui rappelle une nouvelle fois que la cyberprotection n’est pas suffisamment mise en place, malgré les risques encourus.

Les recommandations de l’ANSSI peinent encore à être adoptées par les organisations, malgré les efforts déployés par les spécialistes de la sécurité pour accélérer la prise de conscience. Les campagnes électorales de ces derniers mois, en France comme à l’étranger, ont en effet été perturbées par différents types d’attaques renforçant ce constat. Des piratages d’emails privés du parti démocrate d’Hillary Clinton, aux hacks du site d’Emmanuel Macron, en passant par la propagation de « fake news » en amont du référendum du Brexit, tous les éléments sont réunis pour démontrer que les politiques – comme les électeurs qui les soutiennent – sont des cibles de choix pour les hackers. L’objectif des cybermenaces est en effet de décrédibiliser des candidats et des idées pour en favoriser d’autres en influençant l’opinion publique. In fine, c’est parce qu’un parti politique est une organisation comme une autre, qui rassemble des données confidentielles sur sa stratégie, sa trésorerie, ses militants, etc., que son plan de cybersécurité est aussi important que celui de toute autre entreprise.

Face à ces menaces, des mesures simples peuvent être déployées pour pallier toute perte de données, accidentelle ou malveillante, et se prémunir ainsi contre le phishing – qui selon le cabinet Gartner représente 90 % des attaques actuelles – ou encore les ransomwares, pour ne citer qu’eux. Outre l’éducation continue sur les bonnes pratiques, il est indispensable de limiter et de surveiller les connexions aux comptes administrateurs, véritables passe-partout qui permettent d’accéder à l’ensemble des données présentes dans un système informatique, et qui sont très convoitées par les hackers. En effet, seule une personne habilitée doit accéder à ces comptes et les identifiants ne doivent pas être accessibles à tous – pas question donc de laisser un post-it dans le tiroir, ou d’afficher le mot de passe sur le tableau commun.

Il est, de plus, important de pouvoir rapidement identifier et notifier toute activité inhabituelle, telle qu’une connexion à une heure incongrue, ou encore le retrait d’un trop grand nombre de données ou de documents internes, afin de repérer en temps réel tout acte malveillant et de bloquer l’avancée de l’attaque à l’intérieur des systèmes. D’ailleurs, le cabinet Gartner rappelle que les identifiants Admin sont des ressources sensibles et recommande d’adopter des outils de gestion de session et de comptes à privilèges pour empêcher les mouvements latéraux. Ainsi, même si le cybercriminel est parvenu à pénétrer insidieusement dans le système, il ne pourra pas mener son action à terme et ressortir avec des données.

A moins d’un an de l’entrée en vigueur du règlement général européen pour la protection des données (RGPD), il devient urgent que l’ensemble des personnalités publiques, des institutions et des organismes politiques tirent la leçon des attaques passées et protègent leurs données comme toute organisation est tenue de le faire à l’heure actuelle. Il ne s’agit plus de savoir si elles vont être attaquées, mais quand, voire de considérer que la menace se trouve déjà à l’intérieur. C’est pourquoi il est indispensable qu’avec leur exposition publique plus exacerbée, elles mettent en place une stratégie solide de sécurité et montrent l’exemple aux entreprises – et plus largement aux citoyens – qu’elles représentent et dont elles veulent se faire les porte-parole.

_________
François Pruvot, Regional Director France & Benelux chez CyberArk