Rançongiciels, arnaques au président, piratages : le secteur de l’édition est confronté à des cyberattaques de plus en plus sophistiquées. Les attaques ne se limitent plus à des spams grossiers, mais prennent des formes subtiles, comme des tentatives de fraude au virement bancaire. Un cas récent a été détecté grâce à la vigilance d’une banque, qui a bloqué un virement suspect et alerté l’entreprise. Le Syndicat national de l’édition (SNE) a alors pris conscience du manque d’information de ses membres, notamment les TPE et PME, sur les risques cyber. En avril 2024, Anthony Sitbon, directeur Sécurité du cabinet Lexing Technologies, a animé un webinaire de prévention, soulignant le risque d’une « double peine » : perte financière et sanction de la CNIL en cas de fuite de données personnelles. Les maisons d’édition et distributeurs gèrent des flux financiers et des données personnelles, dont ils sont responsables. Une fuite peut entraîner des sanctions de la CNIL et un préjudice d’image majeur, le « name and shame » ayant un impact plus fort que l’amende. Tous les acteurs de la chaîne du livre (éditeurs, auteurs, traducteurs, correcteurs) peuvent être visés. Outre la fraude bancaire, des actes de malveillance peuvent causer des dégâts considérables, comme la modification d’un manuscrit sensible avant impression, ce qui aurait des conséquences incalculables pour l’éditeur et l’auteur. Il est recommandé de sauvegarder les fichiers sensibles hors ligne, sur un ordinateur non connecté, une clé USB ou un cloud sécurisé. Le RGPD impose de sécuriser le traitement des données personnelles, notamment par le chiffrement et la protection par mot de passe des pièces jointes Excel ou PDF. Les pirates exploitent deux types de failles : les erreurs humaines et les faiblesses techniques. L’utilisation du même mot de passe pour tous les accès est un point faible majeur. Lors de l’attaque sur Free, 24 millions de personnes ont été touchées, permettant aux pirates de recouper les informations et de piéger les utilisateurs. Les attaques sont industrialisées, avec des robots surveillant les cessions de sociétés pour cibler les dirigeants lors d’opérations financières. Un mot de passe de huit caractères, recommandé en 2017, peut être cassé en 34 secondes aujourd’hui. Il est désormais conseillé d’utiliser des passphrases complexes, mêlant minuscules, majuscules, chiffres et caractères spéciaux. Le phishing personnalisé (hameçonnage par mail ou SMS) est de plus en plus sophistiqué, utilisant des pièces jointes ou des liens semblant provenir de sources connues. L’arnaque au président, qui consiste à se faire passer pour un responsable de l’entreprise, s’est perfectionnée grâce à l’intelligence artificielle : en février 2024 à Hong Kong, un employé a été piégé en visioconférence par trois deepfakes et a viré 25 millions de dollars aux pirates. La prévention coûte beaucoup moins cher que la gestion d’une attaque. La mise à jour régulière des pare-feu et logiciels limite les risques de ransomware (cryptolockers), qui permettent aux pirates de prendre le contrôle du système et de demander une rançon. Trois points de vigilance sont essentiels : protéger tous les ordinateurs et téléphones par mot de passe, sécuriser les sites internet (surtout s’ils collectent des données personnelles ou bancaires), et bien paramétrer les espaces collaboratifs (SharePoint, etc.) pour éviter que des données sensibles ne soient accessibles en ligne. En juillet 2022, la CNIL a délivré quinze mises en demeure concernant la sécurité des sites internet. Il est conseillé de proscrire l’utilisation de postes de travail personnels, d’exclure les données sensibles des espaces collaboratifs, de ne pas utiliser de clés USB trouvées ou offertes, de paramétrer l’antivirus pour scanner les clés, et de bien gérer les droits d’accès pour limiter le risque de menace interne. Les tests de résistance des systèmes par des techniciens externes (simulations d’attaque) sont recommandés. L’utilisation de serveurs ou clouds mal protégés est un autre point faible : des manuscrits envoyés à des traducteurs sur un serveur non sécurisé ont été volés par des robots et mis en ligne sur des sites de piratage. Il est crucial de prévoir des plans de crise et de continuité d’activité, car certaines attaques peuvent paralyser totalement l’entreprise. Les pirates peuvent bloquer les serveurs, garder les données en otage et exiger une rançon. Il faut isoler les équipements touchés, refuser de payer, préserver les preuves et déposer plainte. Même en payant la rançon, il existe un risque de notoriété et de diffusion d’informations sensibles. Les rôles de chacun (DPO, DSI, soutien juridique, équipes métier) doivent être formalisés et testés. Le plan de crise permet de poursuivre l’activité, de préserver l’image de l’entreprise et de limiter les pertes économiques. La sécurité informatique repose sur la préparation. Les managers doivent comprendre le risque cyber, dresser un état des lieux des risques, faire une analyse simple et claire, observer le travail des équipes et lister les points faibles. Il est recommandé d’organiser des exercices de cybersécurité annuels, comme l’envoi de fausses campagnes d’hameçonnage, pour mesurer les besoins de formation et vérifier l’efficacité des procédures. Ces actions permettent d’ajuster la formation et de démontrer à la CNIL la mise en place de mesures nécessaires. Les entreprises doivent dépasser la honte d’avoir été piratées, en parler et anticiper les risques, car ne pas le faire peut coûter très cher.