Connexion
Réservé aux abonnés
Le Matin : Peut-on vraiment prévenir une cyberattaque à 100%, ou s’agit-il plutôt de limiter les dégâts ?
Azzedine Ramrami : On ne peut pas prévenir les cyberattaques, car il est quasiment impossible de prévenir une cyberattaque à 100%. Mais on peut prévenir les comportements des pirates selon le framework MITRE ATT@CK. Par contre, on peut bloquer les attaques et réduire les risques. L’objectif réaliste est d’anticiper, de limiter les dégâts et de réagir rapidement. On parle alors de cyberrésilience, qui combine :
Que tu sois un particulier, un pro, ou même un étudiant, il y a de bonnes pratiques simples, mais puissantes à appliquer pour se protéger au quotidien contre les cyberattaques. Voici l’état de l’art en meilleures pratiques (à la fois pour un usage perso et pro)
1. Utilise des mots de passe solides et uniques : Longs (14+ caractères), complexes (majuscules, minuscules, chiffres, symboles). Un même mot de passe sites si vous en avez plusieurs ! Yokamos recommande d’utiliser un gestionnaire de mots de passe comme Bitwarden, 1Password ou Dashlane.
2. Active l’authentification à deux facteurs (2FA ou MFA) : Idéalement via une application d’authentification (par exemple Google Authenticator), pas par SMS si possible.
3. Mets à jour tes logiciels régulièrement : Les systèmes d’exploitation, navigateurs, antivirus, applis... tout doit être mis à jour de manière régulière et automatique. Les mises à jour corrigent souvent des failles de sécurité exploitées activement.
4. Attention aux e-mails et liens suspects (phishing). Ne jamais faire confiance, ne clique pas à la légère, et vérifie l’adresse de l’expéditeur, les fautes d’orthographe, les liens douteux. Informer directement l’équipe sécurité de votre entreprise.
5. Utilise un EDR (antivirus, anti-malware, firewall, IPS/IPS, etc.) : Même si tu es sur macOS ou Linux, tu n’es pas protégé. Windows inclut Defender qui est largement suffisant.
6. Évite les Wi-Fi publics non sécurisés et, si besoin est, active un VPN.
7. Sauvegarde régulièrement tes données. Une sauvegarde dans le Cloud est une option. Yokamos recommande de chiffrer vos données. Ne jamais laisser brancher le support de sauvegarde, car en cas d’attaques par Ransomware il sera aussi compromis.
8. Sensibilise ton entourage/tes collègues. En effet, une chaîne est aussi solide que son maillon le plus faible. En entreprise, forme les équipes aux bonnes pratiques (phishing, mots de passe, sauvegarde, etc.).
9. Réduis ta surface d’exposition en installant une solution de réduction de la surface d’attaques.
10. Chiffre tes appareils (téléphones, ordinateurs) en faisant un chiffrement total (BitLocker est une bonne solution.
Comment mettre en place une bonne stratégie de cybersécurité ?
Mettre en place une stratégie de cybersécurité efficace, c’est un peu comme construire une forteresse (shiro en Japonais, tous les résidents doivent être des Shinobi ou Ninja) : il ne suffit pas d’un seul bon mur, il faut des couches de défense, des règles claires, et une vision globale. Ceci est appelé une architecture Defense en profondeur avec «No Trust, No Click». On l’appelle aussi «Zero Trust Architecture».
Voici un exemple de plan structuré, étape par étape, pour bâtir une vraie stratégie de cybersécurité solide, que ce soit pour une PME, une grande entreprise :
1. Évaluation des risques pour savoir ce qu’il faut protéger et contre quoi.
Quand une cyberattaque éclate, il est crucial d’activer rapidement les bons protocoles de gestion de crise, pour contenir les dégâts, protéger les données, et rétablir les opérations. Voici les protocoles clés à activer
1. Détection et alerte immédiate
Objectif : détecter l’incident et en informer les bonnes personnes sans délai.
Surveillance via SIEM, détection d’anomalies réseau ou système.
Remontée automatique vers l’équipe sécurité/RSSI.
Mise en alerte de la cellule de crise cybersécurité (si elle existe).
Communication interne immédiate à l’IT, à la direction et, si besoin, aux utilisateurs.
2. Activation du plan de réponse aux incidents (PRI) pour suivre un protocole clair et éviter l’improvisation.
• Mise en œuvre d’un playbook de réponse à l’incident (déconnecter des machines, isoler des serveurs, changer des mots de passe, etc.).
• Constitution de la cellule de crise opérationnelle (RSSI, DSI, DPO, direction, comm, juridique...).
• Attribution des rôles et responsabilités de chacun dans la réponse.
Si l’organisation est certifiée ISO 27001 ou suit le NIST CSF, ces plans doivent déjà être documentés.
3. Confinement et limitation des impacts pour empêcher la propagation.
• Isolement des postes ou réseaux compromis.
• Suspension temporaire de services si nécessaire.
• Blocage des comptes ou identifiants compromis.
C’est souvent ici que le temps de réaction fait toute la différence.
4. Investigation et analyse forensique pour comprendre l’origine, l’ampleur et la nature de l’attaque.
• Collecte de preuves numériques (logs, fichiers suspects, flux réseau).
• Déclenchement d’une analyse forensique (interne ou par un prestataire spécialisé).
• Détection de backdoors, malwares persistants, ou autres vulnérabilités.
• Cette étape est cruciale pour éviter une seconde vague d’attaque.
5. Communication de crise pour gérer la réputation, rassurer les parties prenantes, respecter la loi.
• Communication vers les employés, clients, partenaires.
• Notification aux autorités compétentes :
• CNDP (si données personnelles),
• DGSSI (pour les OIV ou entités publiques)
• Police ou gendarmerie.
• Message clair, sans panique, mais transparent.
Certaines entreprises ont un plan média prêt, avec modèles de communiqués.
6. Remédiation et reprise des activités pour revenir à un fonctionnement normal en sécurité.
• Réinitialisation des systèmes compromis à partir d’un support clean, avec changement des mots de passe.
• Restauration à partir de sauvegardes saines
• Renforcement des protections là où la faille a été exploitée.
• Remise en ligne progressive des services critiques.
• Avoir un bon PRA/PCA fait ici toute la différence.
7. Retour d’expérience (Retex) pour apprendre de la crise pour mieux se protéger.
• Analyse de ce qui a bien/mal fonctionné.
• Mise à jour des procédures et des outils.
• Sensibilisation renforcée si l’humain a été en cause.
• Révision de la stratégie cybersécurité globale.
En bonus : protocoles à avoir en amont
• Exercices réguliers de simulation de cybercrise.
• Documentation accessible des plans d’urgence.
• Liste de contacts d’urgence (interne + prestataires cybersécu).
• Outils prêts à l’emploi : clé USB de secours, script de confinement, accès VPN hors bande, etc.
Sécurité informatique : pourquoi le risque zéro n’existe pas selon l’expert ?
• Facteur humain : Le maillon faible est l’humain. En effet, l’erreur humaine reste l’une des principales portes d’entrée pour les cyberattaques (phishing, mots de passe faibles, mauvais paramétrage...).
• Évolution constante des attaques et émergence de nouvelles menaces : Les attaquants innovent sans cesse et sont très bien formés. Un système sécurisé aujourd’hui peut devenir vulnérable demain et cacher beaucoup de vulnérabilités.
• Complexité des architectures : Plus une architecture est complexe, plus il y a de failles potentielles (librairies externes tiers, API, etc.).
• Motivation des attaquants : Certains groupes (cybercriminels, hacktivistes, États...) sont prêts à investir énormément de temps et de ressources pour trouver des failles dans les systèmes supposés sécurisés.
• Manque de solutions de détection en temps réel et d’auto-remédiation : plusieurs sociétés installent des SIEM, XDR/EDR qui manque de règles de détection des attaques en temps réel.
Azzedine Ramrami : On ne peut pas prévenir les cyberattaques, car il est quasiment impossible de prévenir une cyberattaque à 100%. Mais on peut prévenir les comportements des pirates selon le framework MITRE ATT@CK. Par contre, on peut bloquer les attaques et réduire les risques. L’objectif réaliste est d’anticiper, de limiter les dégâts et de réagir rapidement. On parle alors de cyberrésilience, qui combine :
- Prévention : sécurisation des systèmes, sensibilisation, mise à jour des logiciels, etc.
- Détection : surveillance, alertes en temps réel, SOC (Security Operations Center).
- Réponse : plan de gestion d’incident, équipes prêtes à intervenir.
- Récupération : sauvegardes, restauration rapide, continuité d’activité.
Que tu sois un particulier, un pro, ou même un étudiant, il y a de bonnes pratiques simples, mais puissantes à appliquer pour se protéger au quotidien contre les cyberattaques. Voici l’état de l’art en meilleures pratiques (à la fois pour un usage perso et pro)
1. Utilise des mots de passe solides et uniques : Longs (14+ caractères), complexes (majuscules, minuscules, chiffres, symboles). Un même mot de passe sites si vous en avez plusieurs ! Yokamos recommande d’utiliser un gestionnaire de mots de passe comme Bitwarden, 1Password ou Dashlane.
2. Active l’authentification à deux facteurs (2FA ou MFA) : Idéalement via une application d’authentification (par exemple Google Authenticator), pas par SMS si possible.
3. Mets à jour tes logiciels régulièrement : Les systèmes d’exploitation, navigateurs, antivirus, applis... tout doit être mis à jour de manière régulière et automatique. Les mises à jour corrigent souvent des failles de sécurité exploitées activement.
4. Attention aux e-mails et liens suspects (phishing). Ne jamais faire confiance, ne clique pas à la légère, et vérifie l’adresse de l’expéditeur, les fautes d’orthographe, les liens douteux. Informer directement l’équipe sécurité de votre entreprise.
5. Utilise un EDR (antivirus, anti-malware, firewall, IPS/IPS, etc.) : Même si tu es sur macOS ou Linux, tu n’es pas protégé. Windows inclut Defender qui est largement suffisant.
6. Évite les Wi-Fi publics non sécurisés et, si besoin est, active un VPN.
7. Sauvegarde régulièrement tes données. Une sauvegarde dans le Cloud est une option. Yokamos recommande de chiffrer vos données. Ne jamais laisser brancher le support de sauvegarde, car en cas d’attaques par Ransomware il sera aussi compromis.
8. Sensibilise ton entourage/tes collègues. En effet, une chaîne est aussi solide que son maillon le plus faible. En entreprise, forme les équipes aux bonnes pratiques (phishing, mots de passe, sauvegarde, etc.).
9. Réduis ta surface d’exposition en installant une solution de réduction de la surface d’attaques.
10. Chiffre tes appareils (téléphones, ordinateurs) en faisant un chiffrement total (BitLocker est une bonne solution.
Comment mettre en place une bonne stratégie de cybersécurité ?
Mettre en place une stratégie de cybersécurité efficace, c’est un peu comme construire une forteresse (shiro en Japonais, tous les résidents doivent être des Shinobi ou Ninja) : il ne suffit pas d’un seul bon mur, il faut des couches de défense, des règles claires, et une vision globale. Ceci est appelé une architecture Defense en profondeur avec «No Trust, No Click». On l’appelle aussi «Zero Trust Architecture».
Voici un exemple de plan structuré, étape par étape, pour bâtir une vraie stratégie de cybersécurité solide, que ce soit pour une PME, une grande entreprise :
1. Évaluation des risques pour savoir ce qu’il faut protéger et contre quoi.
- Identifie tes actifs critiques (données, systèmes, applications, réputation...).
- Classe les risques par niveau de criticité (impact × probabilité).
- Outils utiles : méthodes EBIOS, ISO 27005, NIST Risk Management Framework.
- Rédige une Politique de sécurité des systèmes d’information (PSSI).
- Fixe les règles d’usage des outils, mots de passe, accès, sauvegardes, etc.
- Définis les rôles et responsabilités (RSSI, DPO, admin, utilisateurs...).
- Cette politique doit être claire, connue, et accessible à tous les collaborateurs.
- Analyse les menaces (internes, externes, humaines, techniques).
- Évalue les vulnérabilités existantes.
- Pare-feux, antivirus, EDR/XDR, chiffrement des données.
- Gestion des accès (authentification forte, principe du moindre privilège).
- Surveillance et détection (SIEM, IDS/IPS, journaux).
- VPN, segmentation réseau, protection des endpoints.
- Mises à jour et correctifs réguliers.
- Formations régulières (phishing, bonnes pratiques, RGPD...).
- Simulations d’attaques (phishing simulé, intrusion test).
- Rappels fréquents via mails, affiches, guides pratiques.
- Crée un plan de réponse aux incidents (PRI) clair.
- Mets en place une équipe d’intervention (CSIRT ou équivalent).
- Faire des tests et des simulations du plan régulièrement avec des exercices de crise.
- Prévois une communication de crise (interne et externe).
- Sauvegardes régulières, automatiques, chiffrées et testées.
- Plan de reprise d’activité (PRA) et de continuité (PCA).
- Hébergement des sauvegardes dans des lieux sûrs (Cloud sécurisé ou hors site).
- Suivi des KPIs sécurité (incidents détectés, patchs appliqués...).
- Réalisation d’audits réguliers (internes ou externes).
- Ajustement de la stratégie selon les retours, les évolutions légales, ou technologiques.
- Cadres utiles : ISO 27001, NIST Cybersecurity Framework et CIS Controls.
Quand une cyberattaque éclate, il est crucial d’activer rapidement les bons protocoles de gestion de crise, pour contenir les dégâts, protéger les données, et rétablir les opérations. Voici les protocoles clés à activer
1. Détection et alerte immédiate
Objectif : détecter l’incident et en informer les bonnes personnes sans délai.
Surveillance via SIEM, détection d’anomalies réseau ou système.
Remontée automatique vers l’équipe sécurité/RSSI.
Mise en alerte de la cellule de crise cybersécurité (si elle existe).
Communication interne immédiate à l’IT, à la direction et, si besoin, aux utilisateurs.
2. Activation du plan de réponse aux incidents (PRI) pour suivre un protocole clair et éviter l’improvisation.
• Mise en œuvre d’un playbook de réponse à l’incident (déconnecter des machines, isoler des serveurs, changer des mots de passe, etc.).
• Constitution de la cellule de crise opérationnelle (RSSI, DSI, DPO, direction, comm, juridique...).
• Attribution des rôles et responsabilités de chacun dans la réponse.
Si l’organisation est certifiée ISO 27001 ou suit le NIST CSF, ces plans doivent déjà être documentés.
3. Confinement et limitation des impacts pour empêcher la propagation.
• Isolement des postes ou réseaux compromis.
• Suspension temporaire de services si nécessaire.
• Blocage des comptes ou identifiants compromis.
C’est souvent ici que le temps de réaction fait toute la différence.
4. Investigation et analyse forensique pour comprendre l’origine, l’ampleur et la nature de l’attaque.
• Collecte de preuves numériques (logs, fichiers suspects, flux réseau).
• Déclenchement d’une analyse forensique (interne ou par un prestataire spécialisé).
• Détection de backdoors, malwares persistants, ou autres vulnérabilités.
• Cette étape est cruciale pour éviter une seconde vague d’attaque.
5. Communication de crise pour gérer la réputation, rassurer les parties prenantes, respecter la loi.
• Communication vers les employés, clients, partenaires.
• Notification aux autorités compétentes :
• CNDP (si données personnelles),
• DGSSI (pour les OIV ou entités publiques)
• Police ou gendarmerie.
• Message clair, sans panique, mais transparent.
Certaines entreprises ont un plan média prêt, avec modèles de communiqués.
6. Remédiation et reprise des activités pour revenir à un fonctionnement normal en sécurité.
• Réinitialisation des systèmes compromis à partir d’un support clean, avec changement des mots de passe.
• Restauration à partir de sauvegardes saines
• Renforcement des protections là où la faille a été exploitée.
• Remise en ligne progressive des services critiques.
• Avoir un bon PRA/PCA fait ici toute la différence.
7. Retour d’expérience (Retex) pour apprendre de la crise pour mieux se protéger.
• Analyse de ce qui a bien/mal fonctionné.
• Mise à jour des procédures et des outils.
• Sensibilisation renforcée si l’humain a été en cause.
• Révision de la stratégie cybersécurité globale.
En bonus : protocoles à avoir en amont
• Exercices réguliers de simulation de cybercrise.
• Documentation accessible des plans d’urgence.
• Liste de contacts d’urgence (interne + prestataires cybersécu).
• Outils prêts à l’emploi : clé USB de secours, script de confinement, accès VPN hors bande, etc.
Sécurité informatique : pourquoi le risque zéro n’existe pas selon l’expert ?
• Facteur humain : Le maillon faible est l’humain. En effet, l’erreur humaine reste l’une des principales portes d’entrée pour les cyberattaques (phishing, mots de passe faibles, mauvais paramétrage...).
• Évolution constante des attaques et émergence de nouvelles menaces : Les attaquants innovent sans cesse et sont très bien formés. Un système sécurisé aujourd’hui peut devenir vulnérable demain et cacher beaucoup de vulnérabilités.
• Complexité des architectures : Plus une architecture est complexe, plus il y a de failles potentielles (librairies externes tiers, API, etc.).
• Motivation des attaquants : Certains groupes (cybercriminels, hacktivistes, États...) sont prêts à investir énormément de temps et de ressources pour trouver des failles dans les systèmes supposés sécurisés.
• Manque de solutions de détection en temps réel et d’auto-remédiation : plusieurs sociétés installent des SIEM, XDR/EDR qui manque de règles de détection des attaques en temps réel.
