Hygiène numérique
Les analyses de vulnérabilités externes que La Dépêche et ITrust viennent de réaliser sur une soixantaine des principales entreprises régionales – dont plusieurs classées opérateurs d’importance vitale (OIV), c’est-à-dire dont l’État a jugé le fonctionnement indispensable à la vie de la nation – livrent un constat préoccupant : malgré des investissements croissants dans la cybersécurité, les failles les plus dangereuses restent souvent les plus banales.
Certes, notre étude ne consistait pas en un audit de sécurité interne de ces sociétés – qui peuvent sécuriser parfaitement leurs infrastructures – mais à mettre en évidence les éventuelles faiblesses que peuvent exploiter des cybercriminels lorsqu’ils observent depuis l’extérieur le "bâtiment" numérique de ces entreprises. Si une majorité d’entre elles reçoivent une bonne note, certaines présentent toutefois des vulnérabilités qui devraient être rapidement corrigées, notamment des configurations sur les certificats, le chiffrement ou la gestion des domaines de messagerie.
Le dernier "Panorama de la cybermenace" de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), publié en mars, ne dit d’ailleurs pas autre chose. La France dispose aujourd’hui de l’une des agences de cybersécurité les plus reconnues d’Europe, d’un écosystème d’entreprises innovantes et d’une doctrine de défense numérique mature. Pourtant, les attaques continuent de prospérer sur des failles connues et documentées depuis parfois plusieurs années. Ce rapport montre que la cybersécurité française souffre moins d’un manque de technologies que d’un problème de gestion des correctifs et des configurations. Le plus inquiétant est peut-être que les cybercriminels n’ont même plus besoin d’être particulièrement innovants.
Dans bien des cas, ils se contentent d’exploiter des vulnérabilités connues sur des équipements exposés à Internet, comme les pare-feu ou les VPN. Ils peuvent alors pénétrer dans les réseaux, voler des données, récupérer des identifiants ou déployer des rançongiciels. La cybersécurité repose donc d’abord sur une gestion rigoureuse des mises à jour et des accès. C’est en fait toute une cyber-hygiène numérique qui fait encore défaut dans les entreprises – comme chez les particuliers – et qui fait dire à l’ANSSI que "les vulnérabilités non corrigées demeurent le principal point faible".
Dès lors, au-delà de la sécurisation technique des équipements, c’est toute une culture numérique qu’il faut acquérir dans les entreprises comme chez les particuliers. Des gestes simples, des règles finalement peu contraignantes face aux risques encourus doivent être appris et ce, dès l’école, à l’image du brevet de sécurité routière. Depuis 2016, l’État a lancé Pix, un service en ligne qui permet d’évaluer, développer et certifier les compétences numériques de chacun tout au long de la vie. Mais qui le connaît vraiment ? L’opérateur Orange propose de son côté des ateliers de sensibilisation à la cybersécurité. Les banques ou les assurances multiplient également les messages de vigilance. Et en région, les centres de cybersécurité – Cyber’Occ en Occitanie – font un travail remarquable auprès des PME et des collectivités.
Pour rendre plus efficaces et mieux faire connaître toutes ces initiatives, il manque sans doute un point d’entrée mieux identifié et des campagnes de communication plus claires. Voilà un sujet dont devraient se saisir les candidats à la présidentielle qui aspirent à diriger notre société où le numérique est devenu essentiel. Car derrière les rançongiciels, les vols de données ou les fraudes en ligne se joue désormais une question plus fondamentale : notre capacité collective à vivre dans une société devenue massivement numérique. Une exigence de sécurité, mais aussi de citoyenneté.
Philippe Rioux
(Editorial publié dans La Dépêche du Midi du vendredi 19 juin 2026)