La liste est longue et le périmètre vaste : les la cybercriminalité étend son rayon d'action dans tous les ganglions de la vie publique et privée. Il semble qu'il n'y ait pas d'endroit sûr pour stocker ses données personnelles ou professionnelles, sa mémoire, ses choix politiques ou ses inventions. Toutes les valeurs, ou plutôt les données, jugées immatérielles sont devenues des biens d'échange, de chantage, d'usage abusif et illégitime. Comment réagissent les entreprises et les institutions ?
La semaine dernière a eu lieu à Rome, à l'Université La Sapienza, la présentation duRapport italien sur la cybersécurité 2016, créé par CIS-Sapienza et le Laboratoire national de cybersécurité, où la situation sur la sécurité informatique du pays a été faite. Tout d'abord les nouvelles des 60 derniers jours: l'année en cours débute avec l'affaire Piramid Eye, dont les enquêtes sont toujours en cours, et met en lumière l'utilisation désormais consolidée de logiciels malveillants visant à s'introduire dans les e-mails et les serveurs de personnalités connues de la politique et de l'économie. Quelques jours plus tard, le journal britannique faisant autorité The Guardian révèle que les e-mails du ministre italien des Affaires étrangères ont été attaqués pendant au moins quatre mois en 2016.
À la mi-février, l'autorité allemande Tlc a décidé de retirer une poupée du marché car elle était considérée comme dangereuse pour la vie privée, levant ainsi le voile sur la fragilité de l'Internet des objets (IOT). Toujours à la mi-février, le gouvernement italien met à jour le DpCm sur la sécurité informatique du pays, essayant de rationaliser et de mettre à jour le précédent décret Monti sur le fonctionnement des structures institutionnelles mises en place pour surveiller la cybercriminalité. Entre autres choses, le nouveau décret s'intègre aux récentes dispositions communautaires - la directive sur la sécurité des réseaux et de l'information - élaborées précisément pour rendre l'espace européen de l'information plus sûr. Le 22 février, le rapport Clusit 2016 est présenté par l'Association italienne pour la sécurité informatique, où, entre autres, nous lisons que notre pays figure pleinement parmi les dix premiers au monde dans le classement des cibles de la cybercriminalité.
Mais la vraie nouvelle, qui émerge maintenant avec des preuves particulières, est que le champ de bataille n'est plus seulement celui des grandes institutions ou entreprises, quand au contraire l'objectif est l'épine dorsale de l'économie nationale : moyennes et petites, voire micro-entreprises taille. C'est précisément dans ce domaine que se concentrent la majorité des cyberattaques illicites, précisément là où les niveaux de sensibilisation aux risques, de capacité de réaction, de mise à jour et de formation du personnel sont les plus faibles. Essentiellement : la culture de la sécurité physique, logique et organisationnelle des systèmes TIC des entreprises dans notre pays est considérablement médiocre.
Il y a une pénurie de données, aussi parce qu'il s'agit souvent d'attaques à faible valeur économique (la demande de rançon varie proportionnellement à l'ampleur du vol, on parle de centaines ou de quelques milliers d'euros), supportables par de petites entreprises qui , bien que ne subissant pas les dommages, ils paient et se taisent. Alors que la nouvelle d'un attentat contre un bureau institutionnel ou une grande entreprise fait de plus en plus de bruit dans les médias. Selon des sources de l'École polytechnique de Milan, le chiffre d'affaires italien de la sécurité de l'information en 2016 a augmenté de 5 % par rapport à l'année précédente mais il ne concernait que les grandes entreprises qui s'intéressent à 74 % des quelque 980 millions investis dans le secteur. Les secteurs les plus touchés concernent la santé, la grande distribution, le secteur bancaire et financier en troisième position.
Le mécanisme de fixation le plus simple et le plus connu consiste en un ransomware (les plus connus sont connus sous le nom de Cerber et Zeus) qui entre dans les mémoires et s'approprie les fichiers présents dans les systèmes. Une fois l'attaque effectuée, les informations sont cryptées et la victime se voit demander une rançon pour récupérer ses données. Le principe qui considère un investissement dans la Sécurité comme une dépense certaine face à une possibilité incertaine est souvent considéré comme fondé et, avec ce critère, la porte est laissée ouverte aux cybercriminels qui savent bien que, précisément dans les petites et moyennes entreprises entreprises , dans la plupart des cas, il est encore convaincu qu'un bon antivirus est suffisant pour éviter l'attaque. Selon Kaspersky Lab, une entreprise engagée sur le front CyberSec, ce phénomène a connu en 2016 une forte augmentation sur le front de la téléphonie mobile où, au cours des 12 mois précédents, les logiciels malveillants mobiles ont triplé leur portée, également en raison de l'échec de la mise à jour des systèmes d'exploitation.
Revenant à la réunion de la semaine dernière à l'Université Sapienza de Rome, le rapport Cis a proposé une sorte de mémorandum sur la sécurité informatique destiné précisément aux entreprises qui n'ont pas encore développé un degré suffisant d'attention sur le sujet. Il s'agit de 15 contrôles de cybersécurité essentiels en mesure d'activer toutes les procédures nécessaires à la protection de leurs données, de leur image économique et de leur identité. Mais, comme l'a soutenu Roberto Baldoni, qui a présenté le rapport, cette grille est efficace d'autant plus que les entreprises sont conscientes d'être la cible d'activités informatiques agressives.
Enfin, au cours du même rendez-vous, des nouvelles d'une importance et d'une signification particulières ont été données: l'Université de Rome La Sapienza a activé le premier cours de maîtrise en cybersécurité de ce genre présent en Italie. Comme l'a déclaré le professeur Luigi Mancini, il s'agit de la première réponse académique interdisciplinaire capable de former du personnel de haut niveau capable de faire face efficacement aux défis de la cybersécurité. Selon le magazine Forbes, si en 2016 il y avait plus d'un million de travailleurs dans le secteur, une augmentation allant jusqu'à six millions est attendue pour les trois prochaines années, histoire de confirmer que l'espace informatique est devenu de plus en plus un avantage concurrentiel pour les pays qui sont capables de sécuriser leurs actifs de données et d'informations sensibles.
