La lettre de Frédéric Simottel n°42 ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌
Cette newsletter vous a été transférée ?
Abonnez-vous en cliquant ici
La lettre de Frédéric Simottel n°42
Dans la newsletter d’aujourd’hui:
Pour les abonnés gratuits:
  • L’édito: Si tu ne sais pas, tu ne touches pas !
Pour les abonnés payants:
  • Études: Avez-vous déjà été contactés par des inconnus ?
  • La tribune: Mot-clé, outil de premier recours : Cyber-guerre entre Israël et le Hamas
  • A ne pas manquer sur le web:
    • Repérer les talents qui feront les cybercombattants de demain
Une nouvelle affaire cyber vient de défrayer la chronique. L’alerte remontée par la Cnil prend comme source Malakoff Humanis. Début février, la mutuelle complémentaire s’inquiète d’une violation de données, suite à une cyberattaque chez l’un de ses prestataires de tiers-payant, Viamedis. Quelques heures plus tard, un autre prestataire, Almerys, se retrouve pris dans cet engrenage maléfique. Au final, nous apprendrons que la fuite de données porterait sur 33 millions de comptes d’assurés sociaux dont les données d’Etat civil (et numéros de sécurité sociale) ont été corrompus. A l’heure actuelle, et fort heureusement, ni e-mails, ni numéros de téléphone et encore moins des données de santé ne semblent être compromises. La Cnil s’est donc emparée de l’affaire, a alerté les ayants-droits et en a profité pour médiatiser cette cyberattaque, espérant être suffisamment être entendue par le grand public. Depuis, une lettre plainte a été publiée par le site cybermalveillance.gouv.fr pour accompagner les usagers à porter plainte.

Si tu ne sais pas, tu ne touches pas !
Depuis quelques jours, on ne compte plus le nombre d’avis d’experts qui s’expriment sur la cyberattaque et le vol massif de données qui ont frappé deux prestataires de santé Viamedis et Almerys. Tout le monde dénonce les failles dont sont encore victimes nos systèmes d’information et de l’impossible sensibilisation de la totalité des collaborateurs. Dans cette affaire, c’est visiblement un professionnel de santé qui s’est laissé embarqué dans une tentative -réussie pour le coup- d’hameçonnage (ou phishing). Cette porte laissée ouverte aurait donc permis aux pirates de récupérer les données d’Etat civil ainsi que les numéros de sécurité sociale de 33 millions de Français. 
Grave, non, enquiquinant. 
L’information a rapidement fait le tour des médias. Mais très vite l’affolement général a laissé place à la raison et à l’analyse. Se faire voler ce type de données est certes enquiquinant mais n’est pas aussi grave, si les informations restent en l’état… La menace devient par contre plus importante si les pirates se mettent à croiser ces données avec d’autres sources qu’ils auraient récoltées sur le dark web. En consolidant avec des adresses mails et des numéros de téléphone portable, ils pourraient réussir à recréer des profils complets, et mener des fraudes de plus grande ampleur avec notamment usurpation d’identité ; d’où l’alerte de la Cnil auprès des particuliers d’être très vigilants sur les emails administratifs à venir. 
Carton rouge à la communication des organismes de santé
Mais au-delà des systèmes à mieux protéger et autres mesures de formation à prendre, il me vient deux réflexions. La première porte sur la communication. Merci à la Cnil d’avoir lancé l’alerte et aux médias d’avoir relayé l’information. Carton rouge par contre à tous les organismes de santé, les mutuelles et les deux prestataires incriminés. Si, comme il a été dit, ce sont 33 millions de comptes d’individus qui ont été piratés, nous devrions être très nombreux à avoir reçu un message d’alerte de la part de nos interlocuteurs habituels de santé (CPAM, mutuelle, retraite, etc). Or à ce jour, je ne sais pas pour vous mais en ce qui me concerne, ni moi, ni personne de mon entourage professionnel ou personnel n’a reçu quelque indication, information, sensibilisation. Ne serait-ce que pour informer que des emails inopportuns pourraient apparaître au cours des jours prochains dans nos boîtes aux lettres. Aucune communication non plus sur le fait de surveiller de près nos demandes de remboursement et autres démarches administratives à venir.
On ne touche pas aux objets inconnus
L’autre point est un peu plus polémique. Depuis la sortie du Covid, il faudrait vivre dans une caverne pour ne pas savoir qu’à tout moment, nos messageries, nos téléphones portables sont sous la menace de tentatives d’hameçonnage. La Poste, nos banques, notre opérateur téléphonique, nos sites marchands favoris, nos plateformes de streaming ne cessent de nous alarmer autour des e-mails et SMS frauduleux. Et pourtant l’exemple cité ci-dessus nous confirme qu’il y a encore des gens pour cliquer sur la pièce jointe rattachée à un message sur lequel ils devraient pourtant s’interroger. Certes, avec l’IA, ces hameçonnages sont de mieux en mieux ficelés et les fautes grossières des précédents courriers ont totalement disparu. Mais encore une fois, comme on dit dans le génie militaire – et passez moi l’expression- : « Objet inconnu, touche à ton c… ». Si on ne sait pas pourquoi on reçoit cet mail évoquant une livraison en attente, ce courrier de la banque nous demandant de rappeler un numéro inconnu etc. On n’y touche pas.
Sanctionner davantage les fautifs
La formation, la sensibilisation c’est bien, mais il serait temps de sanctionner un peu plus les fautifs. Certes un médecin ou un professionnel de santé n’est pas un expert du numérique. Mais il n’est pas dénué de tout bon sens : si quelqu’un dépose un colis auquel il ne s’attend pas devant sa porte ; il va hésiter avant de l’ouvrir. Cela doit être la même chose avec le numérique. Certains penseront que c’est facile à dire lorsque l’on est un professionnel du digital et que l’on navigue dans cet univers depuis 30 ans. Il n’empêche. Si les entreprises font des formations sur le sujet, ce n’est pas pour les bâcler. Je l’avais déjà cité ici. Une entreprise industrielle a mis au point un système de sanction. Pris au premier phishing, c’est un rappel à la charte ; au deuxième, on est directement envoyé en formation ; au troisième, rendez vous avec le RSSI ; et à la quatrième incartade, cela se passe chez le DRH… 
Mais là encore nous accordons trop de bienveillance. Dès la première faute, le collaborateur doit être mis en face du fait accompli (cela se fait bien entendu au cas par cas) et pourquoi pas sanctionné. D’aucuns me rétorqueront que le RSSI et le DSI – voire les dirigeants de l’entreprise- ont aussi leur part de responsabilité. Certes, comment une simple défaillance d’un professionnel de santé donne ainsi accès à 33 millions de comptes d’assurés sociaux. Mais ces cas deviennent de plus en plus rares. Ces techniciens savent qu’ils risquent leur poste et leur carrière et verrouillent tout ce qu’ils peuvent… avec le budget alloué. De même, le sujet cyber fait partie des 3 gros sujets d’attention d’un Comex moderne. Je maintiens : fini le trop plein de bienveillance auprès des collaborateurs. Sinon, nous n’en finirons jamais du « problème » situé entre le clavier et la chaise.
...
Vous souhaitez lire la suite de cet article ?
Cet article est réservé aux abonnés payants, abonnez vous dès maintenant pour le recevoir en intégralité et lire la suite.
Bénéficier de l'offre d'essai
Vous avez aimé cette newsletter ? Likez, partagez, abonnez-vous !
Bénéficier de l'offre d'essai
publication_image
BFM Business Cybersécurité
Par Frédéric Simottel
Journaliste à BFM Business en charge notamment des questions de cybersécurité, je suis heureux de partager avec vous chaque semaine l’actualité du secteur mais aussi ma revue de presse et des tribunes
"Vous recevez ce mail car vous vous êtes abonné à la newsletter BFM Business Cybersécurité sur Kessel. Pour gérer votre abonnement, cliquez ici.
© 2023 Kessel