Cyber-octobre : la Commission veut sensibiliser à la cybersécurité

La Commission européenne, conjointement avec d’autres institutions européennes, a lancé une campagne visant à faire du mois d’octobre le « Mois européen de la cybersécurité », afin de sensibiliser aux sujets de cybersécurité, dans un contexte où la sécurité en ligne suscite de plus en plus d’inquiétudes.

Cette édition du Mois européen de la cybersécurité, la onzième à ce jour, souhaite mettre un coup de projecteur sur les problèmes liés à « l’ingénierie sociale », une pratique de manipulation psychologique utilisée par les hackers pour obtenir des informations et des données sensibles de la part des particuliers et des entreprises.

Selon le rapport 2023 Threat Landscape de l’ENISA, l’Agence européenne de la cybersécurité, les trois principales cybermenaces auxquelles l’UE est confrontée sont les attaques à l’ingénierie sociale, aux rançongiciels (ransomware) et aux logiciels malveillants (malwares). Plus de la moitié des entreprises attaquées ont payé une rançon en 2023 selon le rapport.

« La cybersécurité est un sujet extrêmement important, et nous avons vu ces dernières années qu’il est abordé de plus en plus sérieusement par les régulateurs du monde entier », a expliqué Dita Charanzová, vice-présidente du Parlement européen, lors du lancement de la campagne, qui se poursuit jusqu’à jeudi (28 septembre).

« Les attaques de cybersécurité contre les institutions de l’UE, les gouvernements de l’UE et les institutions publiques constituent une véritable menace pour la démocratie », a ajouté Mme Charanzová, précisant que l’agence de police de l’UE, Europol, a constaté une augmentation notable des attaques aux rançongiciels contre les institutions publiques et les grandes entreprises.

Cyber-octobre pour les PME

L’ENISA et la Commission, en partenariat avec les pays de l’UE, souhaitent utiliser ce mois de sensibilisation comme une plateforme afin de susciter davantage d’actions en matière de cybersécurité.

Trois aspects d’une cybermenace doivent être pris en compte : son type, son niveau d’exposition et son taux de conversion en cyberincidents réels, a expliqué Grzegorz Minczakiewicz, directeur de la commission chargé de la sécurité informatique.

L’objectif est de tirer des leçons sur les principaux facteurs de ces attaques, a ajouté M. Minczakiewicz.

« L’ingénierie sociale est un gros problème pour les entreprises, 80 % des violations de données sont dues à une erreur humaine », a déclaré à Euractiv Iva Tasheva, qui fait partie du groupe de travail ad hoc de l’ENISA sur la sécurité des entreprises.

Ce groupe détaille de nombreuses activités de sensibilisation à la cybersécurité qui se concentrent sur les petites et moyennes entreprises (PME).

L’hameçonnage par courrier électronique (phishing), par SMS (smishing) ou par téléphone (vishing) sont des exemples de techniques d’ingénierie sociale peu coûteuses pour un hacker.

Ces techniques ouvrent la porte à un large éventail d’attaques, avec des conséquences potentiellement dévastatrices pour les entreprises et les particuliers, a expliqué Mme Tasheva.

Pour les PME, maintenir un niveau élevé de cybersécurité est une « tâche de grande envergure », a souligné Juhan Lepassaar, directeur exécutif de l’Agence européenne de la cybersécurité.

Selon l’Eurobaromètre de la Commission, près d’un tiers des PME sont très préoccupées par le risque de piratage des comptes bancaires en ligne. En outre, 31 % d’entre elles s’inquiètent des attaques par usurpation d’identité telles que le phishing et 29 % sont préoccupées par les virus et les logiciels espions ou malveillants.

« Commencez par évaluer vos propres risques. Votre approche de gestion de votre chaîne d’approvisionnement doit être basée sur les risques et proportionnée », a conseillé aux PME M. Lepassaar.

Cyber mois ou cyber semaines

Alors que Mme Tasheva a décrit l’événement comme « une occasion de rassembler les forces et de gagner du terrain sur les points douloureux en matière de cybersécurité », certains ont mis en doute l’efficacité de la campagne.

« Bien que cette initiative soit bien sûr bienvenue, je ne pense pas qu’elle soit suffisante pour obtenir des effets à long terme », a déclaré à Euractiv Valentin Weber, chercheur au Centre géopolitique, géoéconomie et technologique du DGAP (Conseil allemand des relations étrangères).

« Une initiative d’un mois ne pourra pas remplacer une discussion fondamentale sur ce sujet auprès de la société en général », a-t-il ajouté.

Selon M. Weber, il serait beaucoup plus efficace d’organiser des événements tout au long de l’année pour rappeler régulièrement aux citoyens les risques liés à la cybersécurité, car il est convaincu que les campagnes de sensibilisation les plus efficaces sont celles qui avertissent régulièrement des nouvelles cybermenaces.

Ces événements pourraient être appelés « semaines de la cybersécurité » et chaque événement pourrait avoir un thème différent, a-t-il suggéré.

« Quoi qu’il en soit, la Commission européenne a le mérite de s’attaquer au problème », a reconnu M. Weber.

Patrick Wheeler, directeur du programme de développement de la main-d’œuvre CyberWayFinder, a déclaré à Euractiv qu’il soutenait également les efforts de sensibilisation à la cybersécurité.

« Ces événements doivent être suivis d’un examen approfondi des dommages causés aux fondements de notre société ; qu’il s’agisse d’une “mort à petit feu” par des fraudeurs individuels, de comportements toxiques en ligne induits par l’optimisation de l’attention des algorithmes des plateformes ou d’une attaque directe contre le cœur de nos démocraties européennes. Tous ces problèmes doivent être abordés », a déclaré M. Wheeler.

« En mettant l’accent sur ces sujets au cours du mois, nous avons mis en place un travail de base important qui montre les avantages que les institutions de l’UE, entre autres, tentent d’apporter pour nous protéger tous », a conclu M. Wheeler.