Temps de lecture estimé : 5 minutes
Anticiper les menaces numériques
Vous luttez contre la covid dans l’entreprise ? Apportez le même soin à vous protéger des virus des pirates. Eux aussi sont mortels.
24 février. L’info fait les unes : 500 000 dossiers de patient·es extraits de laboratoires d’analyse de toute une région atterrissent sur le Web. Ce pourrait être les données de n’importe quelle entreprise ! Toutes sont dans le radar des pirates. Peu importe leur taille et leur secteur d’activité. Motivés par l’appât du gain ou le simple plaisir de nuire (plus rare), ils multiplient les attaques pour récupérer des données sensibles ou bloquer l’activité d’une PME. Or l’avènement du télétravail à grande échelle complique la surveillance des réseaux informatiques. Plus que jamais, il est nécessaire de mettre en place une politique proactive contre ces menaces.
Les ransomwares ne connaissent pas la crise ! Selon le portail officiel cybermalveillance.gouv.fr, 159 collectivités ont été touchées en 2020 par ce type de code malveillant (contre 103 en 2019) et 837 entreprises (contre 667, l’année précédente). Ces « rançongiciels » portent bien leur nom : il s’agit de virus à même de bloquer en quelques minutes l’activité d’une entreprise. Toutes les données ont été chiffrées (terme plus approprié que « cryptées »). Impossible d’ouvrir un fichier Excel, de se connecter à sa messagerie ou à son logiciel de comptabilité ou son ERP en ligne.
À partir de ce moment-là, ce sont les pirates qui ont la main : ils exigent que la victime paie une rançon pour récupérer ses données. Ils ont auparavant étudié le « potentiel » de leur cible. Le montant de la rançon varie selon l’activité et la taille. Cette technique d’attaque n’est pas récente. Mais elle a pris de l’ampleur depuis la pandémie. L’explosion du nombre de ces opérations malveillantes s’explique notamment par leur extrême rentabilité. Jusqu’à 500 % de la mise initiale ! « Résultat, la pratique explose. Il existe même de véritables PME spécialisées dans le ransomware », explique Gérôme Billois, associé cybersécurité et confiance numérique chez Wavestone.
Autre technique malveillante qui a pris de l’ampleur ces derniers mois : les opérations de phishing liées à la crise sanitaire. Des pirates usurpent l’identité d’un fabricant de masques ou de gel hydroalcoolique pour récupérer des informations sur les comptes bancaires ou pour arnaquer tout simplement les entreprises en ne livrant jamais les masques pourtant payés.
Sans oublier l’arnaque au faux « président ». Une société d’expertise-comptable a perdu plusieurs millions d’euros en janvier. Après avoir piraté les ordinateurs et les smartphones de responsables de cette entreprise châlonnaise, dont ceux du président, les escrocs ont pu passer de faux ordres de virements qui ont transité par une banque française avant d’arriver en Allemagne.
Les mêmes truands s’en donnent bien sûr à cœur joie avec les particuliers. Parce que, récemment, le Crédit Agricole invitait ses clients à activer une protection, la mafia de la naïveté a adressé à des millions de possibles comptes de la banque une invitation à entrer leurs codes de comptes pour valider ce fameux « pass » de sécurité. À s’y tromper, même si, dans le champ « code », le client était invité à entrer… « six chiffons » (et non six chiffres). Dans le cas des entreprises, c’est une autre paire de manches : c’est le système d’information qui est directement piraté.
Préjudice moyen des cyberattaques : 35 000 euros.
L’affaire des millions du cabinet comptable reste exceptionnelle car le préjudice moyen des cyberattaques des entreprises françaises se situe autour de 35 000 euros. Les PME, mais aussi les PMI sont concernées par ces actions malveillantes et en particulier les ransomwares, ennemi n° 1 en 2020.
Fin 2020, plusieurs usines du groupe français Atlantic (spécialiste de la climatisation) ont été paralysées pendant plusieurs jours. Et sur les réseaux sociaux, de nombreux clients se sont plaints de problèmes intervenus avec leurs appareils de chauffage depuis l’attaque informatique. Une mise à jour des appareils a dû être déployée pour y remédier.
Faut-il payer la rançon ? Difficile de savoir si les entreprises le font, car elles restent discrètes sur ce sujet. Pourtant, selon une étude d’Osterman Research, 58 % des victimes paient la rançon demandée en Grande-Bretagne. Un chiffre qui atteint même 78 % en Allemagne. « Payer la rançon ne règle pas la crise, car il faudra installer le décrypteur envoyé par le pirate sur toutes les machines et s’assurer ensuite qu’elle est suffisamment stable et qu’elle fonctionne correctement. Or ces décrypteurs ne sont pas optimisés et adaptés à tous les systèmes d’exploitation et logiciels », prévient Gérôme Billois.
Sensibiliser tous les salariés
Dans ce contexte délétère, les entreprises doivent plus que jamais mettre en place une politique proactive contre ces menaces. Espérer que les pirates attaqueront la PME voisine est une attitude risquée. « La question n’est plus de savoir si mon entreprise sera visée, mais quand elle le sera ! » prévient depuis plusieurs années un expert militaire spécialisé dans la protection des données. Logiquement, des chefs d’entreprise pensent que la multiplication des logiciels de sécurité représente la meilleure parade. Hélas, cette idée reçue n’est pas adaptée au contexte actuel.
Le déploiement de multiples solutions de sécurité, plus ou moins efficaces, complexifie leur gestion et ne sert à rien si les serveurs et les postes de travail ne sont pas mis à jour régulièrement ! Ils représentent toujours le principal point d’attaque. Il est indispensable d’intégrer rapidement les correctifs de sécurité proposés par tous les éditeurs afin de limiter les risques d’infection. Cette règle s’applique aussi bien aux ordinateurs fixes et portables qu’aux smartphones ! Pas facile à gérer par une petite équipe chargée de l’informatique et de la cybersécurité. Se faire accompagner par des spécialistes est plus que recommandé.
C’est le cas pour les formations. En matière de sécurité informatique, le maillon faible est toujours le ou la salarié·e, qu’il s’agisse du simple collaborateur, des cadres dirigeants, mais aussi du ou de la chef·fe d’entreprise ! Tout le monde fera des erreurs en matière de protection des données, car la majorité des acteurs de l’entreprise n’ont pas été formés à ces risques. La première mesure à prendre est donc d’organiser des sessions de sensibilisation à une meilleure hygiène informatique.
Une mesure encore plus nécessaire depuis le développement du télétravail, car les entreprises ont encore moins de visibilité sur les actions des télétravailleur·ses. Au bureau, l’équipe chargée de l’informatique et de la cybersécurité sait administrer, plus ou moins efficacement, les accès aux données et les postes de travail. Ce n’est pas le cas lorsqu’une personne travaille à son domicile avec son propre PC portable. On appelle le danger BYOD, Bring your own device, en français l’Avec, Apportez votre équipement personnel de communication, l’utilisation d’équipements informatiques personnels dans un contexte professionnel.
Contrôler les accès aux données
Beaucoup ignorent les directives de sécurité de leur entreprise. Pire, la moitié des salarié·es interrogé·es reconnaissent au cours d’une enquête avoir trouvé des solutions pour les contourner afin d’être… plus productifs. Typiquement, utiliser le même mot de passe pour plusieurs comptes professionnels et privés. Une aubaine pour les pirates quand on sait que depuis des années des mots de passe aussi faciles à trouver que « 12345 » figurent dans le top 10 des identifiants les plus répandus !
« Des mesures simples – humaines, organisationnelles, technologiques et physiques – comme des mots de passe “forts”, la segmentation des réseaux ainsi qu’une approche par les risques couvrent la plupart des menaces. Il n’est donc pas nécessaire d’engager un budget prohibitif », rassure Faiz Djellouli, CEO d’Holiseum, une société de conseil et services en cybersécurité.
Il est également indispensable de renforcer le contrôle et la surveillance, non pas de l’activité des salarié·es en mobilité, mais des activités qui sont menées sur les serveurs et dans le cloud. Le contrôle des accès doit se voir renforcé. Peu de PME ont intégré cette problématique de gestion des accès et la règle du « moindre privilège » : on ne doit donner les droits d’accès à une ressource qu’aux personnes qui justifient d’un besoin légitime d’y accéder.
Le risque « humain » vient en outre des prestataires (du dépanneur de la climatisation au consultant RH intervenant lors d’un séminaire interne, de votre hébergeur de données, de votre comptable…) qui se branchent d’une façon ou d’une autre sur votre réseau. Chaque personne extérieure à l’entreprise doit être identifiée et sa mission bien encadrée.
Chiffrer ses données
Il est indispensable de renforcer la confidentialité de ses données critiques et personnelles. C’est renforcer sa résilience et se trouver en conformité avec le RGPD, le Règlement général de la protection des données… Considéré à tort comme une série de contraintes réglementaires, ce texte détaille au contraire les mesures qu’il convient de mettre en place pour sa propre sécurité.
Parmi lesquelles entre notamment le chiffrement des données. On ne le répétera jamais assez, mais seul le chiffrement (ou cryptage dans le langage courant) des informations (mais également le chiffrement de « bout en bout » des flux et des accès au cloud via un VPN – réseau privé virtuel) garantit leur confidentialité. Combien de cadres nomades disposent encore d’un PC portable avec un disque dur non chiffré ? Combien d’équipes métier ont été sensibilisées à chiffrer des dossiers confidentiels qu’elles partagent sur SharePoint ou One Drive ?
En cas de perte ou de vol (les malfrats savent aujourd’hui que le matériel a souvent moins de valeur que les données qu’il stocke…), les conséquences risquent de se révéler catastrophiques pour votre business. Contrairement à une idée reçue et partagée par de nombreux métiers, cette solution n’est pas handicapante. Il existe des techniques de chiffrement qui sont transparentes et n’altèrent pas le travail des équipes.
« La cybersécurité est complexe, car les types d’attaques ne cessent d’évoluer. Afin de renforcer leur pérennité, les entreprises doivent donc préparer un plan de défense inspiré de celui qui guide l’évacuation d’un bâtiment. Ces exercices à répéter régulièrement afin que tout le monde sorte rapidement, mais dans le calme, d’un immeuble devraient inspirer les responsables de la sécurité informatique et les dirigeants », conseille Daniel Gonzalez, directeur des Alliances et des Solutions chez Insight.
Philippe Richard